On 12/08/2013 11:12 PM, Stephane Bortzmeyer wrote: > On Sun, Dec 08, 2013 at 08:33:53PM +0100, > Jean-Yves Faye <jy0...@gmail.com> wrote > a message of 81 lines which said: > >> Dans ce cas précis, une fonctionnalité de type restriction à >> *.gouv.fr sur l'IGC de l'administration aurait été pertinente. > La fonction "Name Constraints" de X.509 (RFC 5280, section 4.2.1.10) > semble très peu mise en œuvre et on ne peut donc pas compter dessus. Il y a eu des discussions longues et virulentes sur le sujet.
La FAQ Mozilla résume bien la situation: https://wiki.mozilla.org/CA:CertificatePolicyV2.1#Frequently_Asked_Questions Apparemment, les membres du CA/Browser Forum craignent de faire rejeter trop de certificats par les implémentations SSL/TLS ne supportant pas l'attribut (qui est pourtant dans PKIX depuis ....) -- Christophe Renard Hervé Schauer Consultants (HSC)
signature.asc
Description: OpenPGP digital signature
