7.5. X.509 Certificate Parsing and Validation Complexity (Komplexität von X.509-Zertifikatsparsing und -validierung)

7.5 X.509 Certificate Parsing and Validation Complexity (Komplexität von X.509-Zertifikatsparsing und -validierung)

Das Parsen und Validieren von X.509-Zertifikaten und -ketten ist komplex; Implementierungsfehler führten zu Sicherheitslücken. Dazu zählen unter anderem [CX5P] [DCW] [RFC5280]:

Prüfung von Basic Constraints, Key-Usage, Gültigkeitszeiträumen und kritischen Erweiterungen;
Behandlung eingebetteter NUL-Bytes in ASN.1-Längenstrings und nicht-kanonischer Subjektdarstellungen;
Behandlung von Wildcards in Subjektnamen;
rekursive Kettenprüfung und Sperrprüfung.

Implementierer SOLLTEN etablierte, gut getestete X.509-Bibliotheken (z. B. aus TLS-Stacks) nutzen und SOLLTEN NICHT eigene Validierungslogik schreiben.

7.5 X.509 Certificate Parsing and Validation Complexity (Komplexität von X.509-Zertifikatsparsing und -validierung)​

7.5 X.509 Certificate Parsing and Validation Complexity (Komplexität von X.509-Zertifikatsparsing und -validierung)