Forge présente un contournement de basicConstraints dans sa vérification de la chaîne de certificats (violation de RFC 5280)

Forge (également appelé `node-forge`) est une implémentation native de Transport Layer Security en JavaScript. Avant la version 1.4.0, `pki.verifyCertificateChain()` n'applique pas les exigences basicConstraints de RFC 5280 lorsqu'un certificat intermédiaire ne possède pas les extensions `basicConstraints` et `keyUsage`. Cela permet à tout certificat feuille (sans ces extensions) d'agir comme une autorité de certification et de signer d'autres certificats, que node-forge acceptera comme valides. La version 1.4.0 corrige ce problème.