tests/x509paths/README

   1 This directory contains self-tests based on NIST's old X.509 test
   2 vectors, downloaded (2007-02-13) from:
   3
   4 http://csrc.nist.gov/pki/testing/x509paths_old.html
   5
   6 6c42afd89f6e9ebe330bf5f361b837840c132bf5  x509tests.tgz
   7 92d43f0f24b15e9e2d42af8f0c4caffc78d94ad1  certpath1.07.zip
   8 3e50006351c0e7422e0d1fb0f39c3d74fd69a51a  Certificate Path Validation Testing.pdf
   9
  10 Because of unclear license, they are not distributed with GnuTLS
  11 currently.
  12
  13 See the PDF for information regarding the self tests.  Particular
  14 comments on individual tests below.  The 'XXX' marks real bugs.
  15
  16 Chain 13-14,65: We probably should not fail fatally, although this is
  17 not a real problem.
  18
  19 Chain 15-18: We should succeed, the reason we don't is that we use
  20 memcmp for DN comparisons.
  21
  22 Chain 19: I don't understand why this test should fail?  The chain
  23 seems fine to me.
  24
  25 Chain 28-29: We fail to check keyCertSign (non-)critical key usage in
  26 intermediate certificates.  XXX
  27
  28 Chain 31-32: The CRL is issued by a issuer without CRLSign
  29 (non-)critical keyCertSign.  We don't check the CRL, so this is not a
  30 real problem.
  31
  32 Chain 54-63: We don't check path length constraints properly. XXX