跳到主要内容

4. Consuming Unsigned Certificates

本节说明接收方如何处理 unsigned certificates, 尤其是验证签名时对 id-alg-unsigned 的要求.

RFC 文本

4.  使用未签名证书

类型为 id-alg-unsigned 的 X.509 signatures 始终无效:

* 在不验证签名而处理 X.509 certificates 时, 接收方可以接受
id-alg-unsigned.

* 在验证 X.509 signatures 时, 接收方必须拒绝 id-alg-unsigned.

特别是, X.509 validators 禁止在认证路径中接受 id-alg-unsigned
来代替签名.

预计大多数未经修改的 X.509 applications 已经符合此指导. 因此,
推荐 X.509 applications 通过忽略本文档来满足这些要求, 并将
id-alg-unsigned 视为与无法识别的 signature algorithm 相同. 未经修改的
X.509 validator 将无法验证签名 ([RFC5280] 第 6.1.3 节的步骤 (a.1)),
因而会拒绝该认证路径. 反过来, 在 X.509 application 原本会忽略
self-signature 的上下文中, id-alg-unsigned 也会被忽略, 但效率更高.

在其他上下文中, 应用程序可能需要修改, 或者将自己限制为特定形式的
unsigned certificates. 例如, 应用程序可能检查 self-signedness, 以便将
本地配置的 certificates 分类为 trust anchors 或 untrusted intermediates.
这样的应用程序在将 unsigned certificate 用作 trust anchor 之前, 可能
需要修改其配置模型或用户界面.