libxmlsec/readme.txt

   1 The XML Security library has been modified, so that there is NO verification of
   2 the certificate during sign or verification operation. On Windows this was done
   3 in the function xmlSecMSCryptoX509StoreVerify (file src/mscrypto/x509vfy.c) and
   4 on UNIX in xmlSecNssX509StoreVerify (file src/nss/x509vfy.c).
   5
   6 The implementation creates certificates from all of the X509Data children, such
   7 as X509IssuerSerial and X509Certificate and stores them in a certificate store
   8 (see xmlsec/src/mscrypto/x509.c:xmlSecMSCryptoX509DataNodeRead). It must then
   9 find the certificate containing the public key which is used for validation
  10 within that store. This is done in xmlSecMSCryptoX509StoreVerify. This function
  11 however only takes those certificates into account which can be validated. This
  12 was changed by the patch xmlsec1-noverify.patch, which prevents this certificate
  13 validation.
  14
  15 xmlSecMSCryptoX509StoreVerify iterates over all certificates contained or
  16 referenced in the X509Data elements and selects one which is no issuer of any of
  17 the other certificates. This certificate is not necessarily the one which was
  18 used for signing but it must contain the proper validation key, which is
  19 sufficient to validate the signature. See
  20 http://www.w3.org/TR/xmldsig-core/#sec-X509Data
  21 for details.
  22
  23 There is a flag XMLSEC_KEYINFO_FLAGS_X509DATA_DONT_VERIFY_CERTS that can be set
  24 in a xmlSecKeyInfoCtx (see function xmlSecNssKeyDataX509XmlRead, in file
  25 src/nss/x509.c), which indicates that one can turn off the validation. However,
  26 setting it will cause that the validation key is not found. If the flag is set,
  27 then the key is not extracted from the certificate store which contains all the
  28 certificates of the X509Data elements. In other words, the certificates which
  29 are delivered within the XML signature are not used when looking for suitable
  30 validation key.
  31
  32