Merge branch 'cert-chain-fixes'
authorTobias Brunner <tobias@strongswan.org>
Tue, 22 May 2018 07:52:08 +0000 (09:52 +0200)
committerTobias Brunner <tobias@strongswan.org>
Tue, 22 May 2018 07:52:08 +0000 (09:52 +0200)
commit3f003e5e2128edc7d17871293ecb9562550fbc20
tree25115164ff8272a22e0c92f491bc3ac23e1a3fae
parent598096e7a2332b974e0cd75f568dc0d38f8f7467
parent9746c308ff6c2f96ff6ba7af7b5409d76bdfc3b7
Merge branch 'cert-chain-fixes'

This fixes several issues that came up via BSI's Certification Path
Validation Test Tool (CPT):

 1) In compliance with RFC 4945, section 5.1.3.2, we now enforce that a
    certificate used for IKE authentication either does not contain a keyUsage
    extension (like the ones produced by pki --issue) or that they include
    digitalSignature or nonRepudiation.

 2) CRLs that are not yet valid are now rejected as that could be a
    problem in scenarios where expired certificates are removed from CRLs and
    the clock on the host doing the revocation check is trailing behind that
    of the host issuing CRLs.

 3) Results other than revocation (e.g. a skipped check because the CRL
    couldn't be fetched) are now stored also for intermediate CA certificates
    and not only for end-entity certificates, so a strict CRL policy can be
    enforced in such cases.