Skip to content

JWK-Validator: Unterstüzung von indirekten Sperrlisten

Warum?

Der JWK-Validator unterstützt aktuell keine indirekten Sperrlisten.

Relevante Links und Bemerkungen

Im JWK-Valdator wird die Zertifikatsvalidierung aktuell abgebrochen, wenn ein cRLIssuer in der Sperrliste angebenen ist:

    private boolean validCRLIssuerInDistributionPoint(X509CRL x509CRL, DistributionPoint dp, X509Certificate cert) {
        /* https://datatracker.ietf.org/doc/html/rfc5280#section-6.3.3 (.b.1)
           If the DP includes cRLIssuer, then verify that the issuer field in the complete CRL matches cRLIssuer in the DP and
           that the complete CRL contains an issuing distribution point extension with the indirectCRL boolean asserted.
           Otherwise, verify that the CRL issuer matches the certificate issuer.
         */
        if (dp.getCRLIssuer() != null) {
            log.debug("Distribution Point has suddenly an CRL issuer for cert {}",
                cert.getSerialNumber());
            return false;
        }
        return x509CRL.getIssuerX500Principal().equals(cert.getIssuerX500Principal());
    }

https://git.fitko.de/fit-connect/jwk-validator/-/blob/main/src/main/java/dev/fitko/fitconnect/jwkvalidator/x5c/crl/CRLVerifier.java#L136

Der Umgang mit indirekten Sperrlisten wird in RFC 5280, Abschnitt 6.6.3 (b) beschrieben.

Akzeptanzkriterien

  1. Indirekte Sperrlisten werden gemäß RFC unterstützt.

Durchführungsplan (von Entwickler:in bei Umsetzungsplanung auszufüllen)