Première page Précédent Suivant Dernière page Image
Faille CryptoAPI (1/2)
« Internet Explorer SSL Vulnerability » (MS02-050)
- Description du problème
- Non prise en compte par Internet Explorer (5, 5.5 et 6) de l'extension v3 basicContraints
- Exemple : X509v3 Basic Constraints : CA:TRUE, pathlen:10
- Signification :
- Le certificat est celui d'une autorité de certification : CA:TRUE
- 10 certificats intermédiaires peuvent constituer la chaîne conduisant aux entités terminales : pathlen:10
- Ces options n'ont de signification que pour le client manipulant le certificat
- Absence de l'option critique basicConstraints et permissité concernant les keyUsage = possibilité pour la clef privée associée à la clef publique dans le certificat de délivrer un certificat
- Un certificat terminal peut se comporter comme une autorité de certification
- Un certificat serveur SSL/TLS valide peut donc certifier une clef publique
- Le danger est dans le prolongement de l'itinéraire de certification d'une « autorité de confiance » connue