go crypto/x509: 存储精简的信任锚点

6yjfywim  于 4个月前  发布在  Go
关注(0)|答案(3)|浏览(50)

与其在根池中存储完整的 x509.Certificate ,我们可以只存储完成链构建所需的信息(SPKI、主题、名称约束),显著减少池的内存占用。

当从 Verify 返回证书链时,我们需要构造一个仅部分填充的 stand-in x509.Certificate (我们需要决定设置哪些字段,以及根据典型的根配置文件,我们可以设置哪些字段而不会造成问题,例如,即使对于发行者与主题不匹配的根证书,是否始终将发行者设置为与主题匹配是安全的?)。根据用户对证书的使用情况,这可能会导致某些问题。因此,我们应该尽早在 1.17 周期中引入此更改,以便尽早发出任何重大破坏信号。

这还将减少 iOS 上的二进制大小,因为我们捆绑了根证书,并使诸如 #43958 之类的东西从二进制膨胀的Angular 更具吸引力。

0dxa2lsx

0dxa2lsx2#

这个问题目前被标记为Go 1.17的早期阶段。
那个time is now,所以友好地提醒大家再次查看它。

yqhsw0fo

yqhsw0fo3#

这里没有太多的活动,现在可能已经晚于Go 1.17。我将其移动到Backlog中,但请随时根据需要更新。

相关问题