5. Validacija in zaupanje

Scenariji: 5
FFI-funkcije: ~40
Status: ⏳ Načrtovano

Ta kategorija zajema vse scenarije za validacijo certifikatov in verig certifikatov. Gradnja verige, preverjanje preklica in validacija politik.

Scenariji

ID	Scenarij	Opis	Kompleksnost	Status
5.1	Gradnja verige	Vzpostavitev verige certifikatov	⭐⭐⭐	⏳
5.2	Validacija verige	Popolno preverjanje verige	⭐⭐⭐⭐	⏳
5.3	Preverjanje preklica	Preverjanje statusa CRL/OCSP	⭐⭐⭐	⏳
5.4	Validacija politik	Preverjanje politik certifikatov	⭐⭐⭐	⏳
5.5	Omejitve imen	Preverjanje omejitev imenskega prostora	⭐⭐⭐⭐	⏳

Proces validacije

flowchart TB START[Prejem certifikata] --> BUILD[Gradnja verige] BUILD --> SIG[Preverjanje podpisa] SIG --> TIME[Preverjanje veljavnosti] TIME --> REV[Preverjanje preklica] REV --> POLICY[Preverjanje politik] POLICY --> CONSTR[Preverjanje omejitev] CONSTR --> RESULT{Rezultat} RESULT --> |V redu| VALID[Veljaven] RESULT --> |Napaka| INVALID[Neveljaven] style VALID fill:#e8f5e9 style INVALID fill:#ffcdd2

Koraki validacije

Korak	Preverjanje	Napaka pri
1. Gradnja verige	Veriga do sidra zaupanja	Manjkajoči vmesni certifikati
2. Podpis	Vsak certifikat podpisan od izdajatelja	Neveljaven podpis
3. Veljavnost	notBefore ≤ zdaj ≤ notAfter	Potekel / Še ni veljaven
4. Basic Constraints	CA-zastavica, pathLen	Ne-CA podpiše certifikat
5. Key Usage	keyCertSign za CA-je	Napačen namen uporabe
6. Preklic	CRL ali OCSP	Preklican
7. Politika	Certificate Policies	Politika ni sprejeta
8. Omejitve imen	permitted/excluded Subtrees	Ime izven obsega

Strategije preverjanja preklica

Metoda	Prednosti	Slabosti	Uporaba
CRL	Možno brez povezave, enostavno	Velike datoteke, zakasnitev	Podjetja, brez povezave
OCSP	V realnem času, kompaktno	Potreben strežnik	Spletne storitve
OCSP Stapling	Zmogljivost, zasebnost	Potrebna podpora TLS strežnika	Spletni strežniki

Panožne zahteve

Panoga	Preklic	Posebnosti
Energetika/SCADA	CRL (brez povezave)	Internetna povezava ni možna
Zdravstvo	OCSP	Validacija v realnem času za eRecept
Avtomobilska industrija	CRL + OCSP	V2X zahteva hitro preverjanje
Industrija 4.0	CRL	Proizvodna omrežja izolirana

Hiter začetek s kodo

using WvdS.Security.Cryptography.X509Certificates.Extensions.PQ;
 
// Nalaganje shrambe zaupanja
var trustStore = ctx.LoadTrustStore("trust-store.p7b");
 
// Validacija certifikata
var result = ctx.ValidateCertificate(
    certificate: serverCert,
    trustStore: trustStore,
    options: new ValidationOptions
    {
        CheckRevocation = true,
        RevocationMode = RevocationMode.Online,  // CRL + OCSP
        ValidatePolicy = true,
        AcceptedPolicies = new[] { "1.3.6.1.4.1.99999.1.1" }  // Prilagojen OID politike
    }
);
 
if (result.IsValid)
{
    Console.WriteLine("Certifikat veljaven");
    Console.WriteLine($"Veriga: {string.Join(" → ", result.Chain.Select(c => c.Subject))}");
}
else
{
    Console.WriteLine($"Napaka: {result.ErrorCode} - {result.ErrorMessage}");
}

Povezane kategorije

Kategorija	Povezava
1. PKI infrastruktura	Nastavitev shrambe zaupanja
6. Preklic	Zagotavljanje CRL/OCSP
10. TLS/mTLS	Validacija v TLS rokovanju

« ← 4. Upravljanje certifikatov | ↑ Scenariji | 6. Preklic → »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

kategorija, validacija, veriga, zaupanje, preklic, politika