沒有基本約束擴展的最終實體證書是否容易受到攻擊？

公共證書頒發機構似乎總是包含基本約束擴展。為什麼這是最佳實踐？PKI 頒發在密鑰使用列表中沒有“證書籤名”但缺乏基本約束擴展的最終實體證書的風險是什麼？

我已經閱讀了https://www.ietf.org/rfc/rfc5280.txt的部分內容。據我了解，CA 證書必須具有 keyCertSign 位和關鍵的基本約束擴展。我仍然想知道 TLS 或程式碼簽名的證書是否必須具有基本約束擴展，因為密鑰使用位似乎已經可以防止濫用。如果是因為某些遺留實現，我想知道是哪些。

作為實驗，我從沒有基本約束擴展和密鑰使用“數字簽名，密鑰加密（a0）”的中間證書頒發了證書。對於鏈中的此無效證書，Windows 證書查看器會顯示“此證書似乎對所選用途無效”。因此，我在目前的 Windows 實現中找不到此證書的特定漏洞，但不確定它是否容易受到其他用途的攻擊。

該漏洞是特定於實現的；有些實現會保守地檢查密鑰使用情況，有些則不會。Moxie Marlinspike 和他的 sslsniff 工具利用了 CA 未能完成基本約束欄位和瀏覽器未能檢查該欄位的問題（請參閱他在 2009 年的 BlackHat 演講中的幻燈片）。自從那次談話以來，我們在確保這些欄位得到驗證和檢查方面付出了更多努力，但是任何使用舊版瀏覽器的人都可能仍然存在漏洞（Marlinspike 提到 IE、Konqueror 和 OpenSSL 最初是易受攻擊的，並不祥地補充道：“你會驚訝於誰仍然不檢查基本約束。”）。

引用自：https://crypto.stackexchange.com/questions/94930