Sujet de philo bac 2019 : un certificat auto-signé, étant de facto CA d’une PKI réduite à lui-même, doit-il avoir les attributs « CA:true » « KeyUsage: keyCertSign » et « NetscapeCertType:sslCA » ou pas ? 😂

aeris ☣ 🇫🇷 @aeris

Alors en fait, on peut résumer le problème à keyCertSign uniquement si on a de la chance, CA:true étant alors impliqué.

(Et donc NetscapeCertType:sslCA à sa suite)

Et donc la réponse correcte semble être
« Si tu définies l’extension keyUsage, alors pour un autosigné, il faut a minima keyCertSign (pour la signature du certificat) et digitalSignature (pour la signature du handshake). Et donc ça implique CA:true à cause de keyCertSign. Et donc si tu définis l’extension nsCertType, tu dois aussi y indiquer sslCA. »
Et du coup, des toooooooooooooooonnes d’implémentation TLS sont foireuses car trop laxistes !