Limitation de la longueur du chemin

Principes de base : contrainte de longueur de chemin (Path Length Constraint)

L'attaque de l'algorithme de signature MD5 présentée fin 2008 n'a pu être utilisé pour créer un faux certificat d'autorité de certification utilisable que parce que l'autorité de certification attaquée n'avait pas configuré de limitation de la longueur du chemin.

La limitation de la longueur du chemin est indiquée dans le RFC 5280 est décrite. L'idée est de définir la profondeur maximale de la hiérarchie des autorités de certification dans l'extension „Basic Constraints“ d'un certificat d'autorité de certification.

Continuer la lecture

La demande de certificat d'autorité de certification échoue avec le message d'erreur „The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“.“

Supposons le scénario suivant :

Un certificat d'autorité de certification est demandé à une autorité de certification.
La demande de certificat échoue avec le message d'erreur suivant :

The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module

Continuer la lecture

Configurer la contrainte de longueur de chemin (Path Length Constraint) pour les certificats émis par une autorité de certification

Pour renforcer le contrôle sur les certificats pouvant être délivrés par une autorité de certification, il est possible de mettre en place une restriction de longueur de chemin (Path Length Constraint) afin que les autorités de certification situées au-dessus d'un certain niveau hiérarchique ne puissent plus délivrer de certificats d'autorité de certification subordonnés.

Pour une explication du fonctionnement de la limitation de la longueur du chemin, voir l'article „ Principes fondamentaux : contrainte de longueur de chemin (Path Length Constraint) “.

Continuer la lecture