POLICY-BASED SECURITY CERTIFICATE FILTERING

Policy filtering services are built into security processing of an execution environment for resolving how to handle a digital security certificate of a communicating entity without requiring a local copy of a root certificate that is associated with the entity through a certificate authority ("CA") chain. Policy may be specified using a set of rules (or other policy format) indicating conditions for certificate filtering. This filtering is preferably invoked during handshaking, upon determining that a needed root CA certificate is not available. In one approach, the policy uses rules specifying conditions under which a certificate is permitted (i.e., treated as if it is validated) and other rules specifying conditions under which a certificate is blocked (i.e., treated as if it is invalid). Preferably, policy rules are evaluated and enforced in order of most-specific to least-specific. L'invention concerne des services de filtrage de police inclus dans un traitement de sécurité d'un environnement d'exécution pour permettre de gérer un certificat de sécurité numérique d'une entité de communication sans demander une copie locale d'un certificat d'origine qui est associé à l'entité grâce à une chaîne d'autorisation de certificat ('CA'). La police peut être spécifiée à l'aide d'un ensemble de règles (ou d'un autre format de police) indiquant des conditions pour un filtrage de certificat. Ce filtrage est de préférence mis en oevre pendant l'établissement d'une liaison, lors que l'on détermine qu'un certificat CA d'origine nécessaire n'est pas disponible. Selon une approche, la police utilise des règles spécifiant des conditions dans lesquelles un certificat est autorisé (c'est-à-dire, traité comme validé) et d'autres règles spécifiant des conditions dans lesquelles un certificat est bloqué (c'est-à-dire, traité comme invalide). De préférence, les règles de police sont évaluées et appliquées dans l'ordre de la plus spécifique à la moins spécifique.