libxmlsec/readme.txt

   1 The XML Security library has been modified, so that there is NO verification
   2 of the certificate during sign or verification operation. On Windows this was
   3 done in the function xmlSecMSCryptoX509StoreVerify (file
   4 src/mscrypto/x509vfy.c) and on UNIX in xmlSecNssX509StoreVerify
   5 (file src/nss/x509vfy.c).
   6
   7 This change requires that the XML Signature contains in
   8 Signature/KeyInfo/X509Data only entries which represent the same
   9 certificate.
  10 The implementation creates certificates from all of the X509Data children
  11 (X509IssuerSerial, X509Certificate) and used to iterate over all certificates,
  12 verify them and return the first "good" certificate. Now the first one is
  13 used.
  14
  15 The X509IssuerSerial information is used by XML Security Library to find the
  16 certificate in the certificate store on the machine. The X509Certificate entry
  17 is used to create a certificate no matter if this is already contained in the
  18 certificate store.
  19
  20 Do not forget: Suggest to XML Security Library to provide a way to carry out
  21 signature operations without verification of certificates. There is flag
  22 XMLSEC_KEYINFO_FLAGS_X509DATA_DONT_VERIFY_CERTS that can be set in a
  23 xmlSecKeyInfoCtx (see function xmlSecNssKeyDataX509XmlRead, in file src/nss/x509.c),
  24 which indicates such a possibility but it does not work.