Добрый день.

Тестирую некоторый tls-клиент. С стендовыми серверами все работает. При попытке соединится с сайтом cryptopro.ru получил странную ошибку при проверке серверной цепочки сертификатов.

Приложение спотыкается при обработке сертификата промежуточного УЦ CryptoPro TLS CA. Расширение Extended Key Usage в этом сертификате содержит три OID
IKE-посредник IP-безопасности (1.3.6.1.5.5.8.2.2),
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2),
Проверка подлинности сервера (1.3.6.1.5.5.7.3.1).

Приложение полагает, что поскольку ни одно из них не связано с процессом выпуска сертификатов или стоп-листов и отсутствует OID anyExtendedKeyUsage, данный сертификат не удовлетворяет требованиям к сертификатам УЦ и не может использоваться для выпуска сертификатов.

Полагаю, что разработчики руководствовались RFC 5280 п. 4.2.1.12, где написано, что если данное расширение присутствует в сертификате, то сертификат должен использоваться только в тех целях, которые перечислены в этом расширении (If the extension is present, then the certificate MUST only be used for one of the purposes indicated.)

Для случаев, когда некоторые приложения требуют присутствия конкретного назначения использования ключа, тот же пункт рекомендует добавлять OID anyExtendedKeyUsage, чтобы не ограничивать использование ключа в других приложениях.

Не могли бы вы пояснить цель и корректность использования такого содержимого этого расширения в данном сертификате? CryptoPro.cert2.zip (2kb) загружен 1 раз(а).

Может для соответствия спецификации стоит добавить anyExtendedKeyUsage?