JWK-Validator: Unterstüzung von indirekten Sperrlisten
Warum?
Der JWK-Validator unterstützt aktuell keine indirekten Sperrlisten.
Relevante Links und Bemerkungen
Im JWK-Valdator wird die Zertifikatsvalidierung aktuell abgebrochen, wenn ein cRLIssuer
in der Sperrliste angebenen ist:
private boolean validCRLIssuerInDistributionPoint(X509CRL x509CRL, DistributionPoint dp, X509Certificate cert) {
/* https://datatracker.ietf.org/doc/html/rfc5280#section-6.3.3 (.b.1)
If the DP includes cRLIssuer, then verify that the issuer field in the complete CRL matches cRLIssuer in the DP and
that the complete CRL contains an issuing distribution point extension with the indirectCRL boolean asserted.
Otherwise, verify that the CRL issuer matches the certificate issuer.
*/
if (dp.getCRLIssuer() != null) {
log.debug("Distribution Point has suddenly an CRL issuer for cert {}",
cert.getSerialNumber());
return false;
}
return x509CRL.getIssuerX500Principal().equals(cert.getIssuerX500Principal());
}
Der Umgang mit indirekten Sperrlisten wird in RFC 5280, Abschnitt 6.6.3 (b) beschrieben.
Akzeptanzkriterien
-
Indirekte Sperrlisten werden gemäß RFC unterstützt.
Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)
-
... -
... -
... -
Definition of Done wurde geprüft