Skip to content

Dokumentation, wie die `issuerSerial` für die Key-ID eines JWK abgeleitet & genutzt werden kann

Warum?

In der Dokumentation steht aktuell folgendes:

Als Format der ID wird UUID nach RFC 4122 empfohlen.

Aber statt einer UUID sollte der kid-Parameter gemäß JAdES verwendet werden.

The content of kid header parameter shall be the base64 (IETF RFC 4648) encoding of one DER-encoded instance of type IssuerSerial type defined in IETF RFC 5035.

Referenzen

Akzeptanzkriterien

  1. Die Crypto-Seite in der Doku ist entsprechend aktualisiert
  2. Alle Key-IDs der JWKs in der Dokumentation nutzen den/die/das issuerSerial
  3. Notwendige Anpassungen an der API-Spec (description-Attribute) sind vorgenommen.
  4. Die Validierung in der Zustelldienst-Implementierung (#119 (closed)) und im SSP sind angepasst.

Details

Der schreibt dazu:

The serial number MUST be a positive integer assigned by the CA to each certificate. It MUST be unique for each certificate issued by a given CA (i.e., the issuer name and serial number identify a unique certificate). CAs MUST force the serialNumber to be a non-negative integer. […] Given the uniqueness requirements above, serial numbers can be expected to contain long integers. Certificate users MUST be able to handle serialNumber values up to 20 octets. Conformant CAs MUST NOT use serialNumber values longer than 20 octets. […] Note: Non-conforming CAs may issue certificates with serial numbers that are negative, or zero. Certificate users SHOULD be prepared to gracefully handle such certificates.

=> 20*8/6 == 27 Zeichen ist die (maximale) Länge einer issuerSerial

Edited by Marco Holz