X.509 هو تنسيق قياسي لـ شهادات المفتاح العامالمستندات الرقمية التي تربط أزواج مفاتيح التشفير بأمان مع هويات مثل مواقع الويب أو الأفراد أو المنظمات.
تم تقديم X.1988 لأول مرة في عام 500 جنبًا إلى جنب مع معايير X.509 لخدمات الدليل الإلكتروني ، وقد تم تكييفه لاستخدام الإنترنت من قبل البنية التحتية للمفتاح العام (X.509) الخاصة بـ IETF (PKIخ) مجموعة عمل. RFC 5280 توصيف شهادة X.509 v3 وقائمة إبطال شهادة X.509 v2 (CRL) ، ويصف خوارزمية للتحقق من مسار شهادة X.509.
تتضمن التطبيقات الشائعة لشهادات X.509 ما يلي:
- SSL /TLS و HTTPS لتصفح الويب المصدق والمشفّر
- البريد الإلكتروني الموقع والمشفّر S/MIME بروتوكول
- توقيع الرمز
- توقيع الوثيقة
- مصادقة العميل
- الهوية الإلكترونية الصادرة عن الحكومة
أزواج المفاتيح والتوقيعات
بغض النظر عن التطبيق (التطبيقات) المقصود ، تتضمن كل شهادة X.509 أ المفتاح العمومي, توقيع إلكتروني، ومعلومات عن كل من الهوية المرتبطة بالشهادة وإصدارها مرجع مصدق (CA):
- • المفتاح العمومي هو جزء من زوج المفتاح يتضمن أيضا أ مفتاح خاص. يتم الحفاظ على المفتاح الخاص آمنًا ، ويتم تضمين المفتاح العام في الشهادة. زوج المفاتيح العام / الخاص هذا:
- يسمح لمالك المفتاح الخاص بالتوقيع الرقمي على المستندات ؛ يمكن التحقق من هذه التوقيعات من قبل أي شخص لديه المفتاح العام المقابل.
- يسمح للجهات الخارجية بإرسال رسائل مشفرة باستخدام المفتاح العام لا يمكن إلا لمالك المفتاح الخاص فك تشفيرها.
- A توقيع إلكتروني عبارة عن تجزئة مشفرة (ملخص ثابت الطول) لمستند تم تشفيره باستخدام مفتاح خاص. عندما يتم توقيع شهادة X.509 بواسطة ملف مرجع مصدق عام، مثل SSL.com ، يمكن استخدام الشهادة من قبل طرف ثالث للتحقق من هوية الكيان الذي قدمها.ملحوظة: لا تتطلب جميع تطبيقات شهادات X.509 ثقة الجمهور. على سبيل المثال ، يمكن للشركة إصدار شهاداتها الخاصة الموثوقة للاستخدام الداخلي. لمزيد من المعلومات ، يرجى قراءة مقالتنا على خاص مقابل عام PKI.
- تتضمن كل شهادة X.509 الحقول التي تحدد موضوع, إصدار المرجع المصدق، وغيرها من المعلومات المطلوبة مثل الشهادة الإصدار و فترة الصلاحية. بالإضافة إلى ذلك ، تحتوي شهادات v3 على مجموعة من اضافات المتصفح التي تحدد خصائص مثل استخدامات المفاتيح المقبولة والهويات الإضافية لربط زوج المفاتيح بها.
حقول الشهادة وملحقاتها
لمراجعة محتويات شهادة X.509 نموذجية في البرية ، سنقوم بفحص www.ssl.com's SSL /TLS شهادة ، كما هو موضح في Google Chrome. (يمكنك التحقق من كل هذا في متصفحك الخاص بحثًا عن أي موقع HTTPS على الويب بالنقر فوق القفل الموجود على الجانب الأيسر من شريط العناوين.)
- تتضمن المجموعة الأولى من التفاصيل معلومات حول الموضوع، بما في ذلك اسم وعنوان الشركة و اسم شائع (أو اسم المجال المؤهل بالكامل) لموقع الويب الذي تهدف الشهادة إلى حمايته. (ملحوظة: ال رقم متسلسل يظهر في حقل الموضوع هذا رقم تعريف النشاط التجاري في نيفادا ، وليس الرقم التسلسلي للشهادة نفسها.)
- بالتمرير لأسفل ، نواجه معلومات حول المصدر. ليس من قبيل الصدفة ، في هذه الحالة ، منظمة هي "SSL Corp" لكل من الموضوع والمصدر ، ولكن المصدر اسم شائع هو اسم إصدار المرجع المصدق المُصدر وليس عنوان URL.
- أسفل المصدر ، نرى الشهادة رقم متسلسل (رقم صحيح موجب يحدد الشهادة بشكل فريد) ، إصدار X.509 (شنومكس)، و خوارزمية التوقيع، والتواريخ التي تحدد الشهادة فترة الصلاحية.
- بعد ذلك ، نصل إلى مفتاح العام, سيغنيتشروالمعلومات المرتبطة بها.
- بالإضافة إلى الحقول أعلاه ، تتضمن شهادات X.509 v3 مجموعة من ملحقات التي توفر مرونة إضافية في استخدام الشهادة. على سبيل المثال ، اسم البديل للموضوع يسمح الامتداد بربط الشهادة بهويات متعددة. (لهذا السبب ، يشار أحيانًا إلى الشهادات متعددة المجالات باسم شهادات SAN). في المثال أدناه ، يمكننا أن نرى أن الشهادة تغطي فعليًا أحد عشر نطاقات فرعية مختلفة لـ SSL.com:
- • بصمات الأصابع الموضح أدناه ، لا تعد معلومات الشهادة في Chrome جزءًا من الشهادة نفسها ، ولكنها عبارة عن تجزئات محسوبة بشكل مستقل يمكن استخدامها لتعريف الشهادة بشكل فريد.
سلاسل الشهادات
لأسباب إدارية وأمنية ، يتم دمج شهادات X.509 عادةً في السلاسل للتحقق. كما هو موضح في لقطة الشاشة من Google Chrome أدناه ، فإن SSL /TLS شهادة www.ssl.com موقعة بإحدى شهادات SSL.com المتوسطة ، SSL.com EV SSL Intermediate CA RSA R3. في المقابل ، يتم توقيع الشهادة المتوسطة بواسطة جذر EV RSA الخاص بـ SSL.com:
بالنسبة إلى مواقع الويب الموثوق بها بشكل عام ، سيوفر خادم الويب موقع الويب الخاص به كيان نهائي الشهادة ، بالإضافة إلى أي وسيط مطلوب للتحقق من صحته. سيتم تضمين شهادة المرجع المصدق الجذر مع مفتاحها العام في نظام التشغيل و / أو تطبيق المتصفح الخاص بالمستخدم النهائي ، مما يؤدي إلى اكتمال سلسلة من الثقة.
إبطال
شهادات X.509 التي يجب إبطالها قبل إصدارها ليس صالحا بعد قد يكون التاريخ إلغاء. كما ذكر أعلاه، RFC 5280 قوائم إبطال شهادات الملفات الشخصية (CRLs) ، قوائم مختومة بالوقت للشهادات التي تم إبطالها والتي يمكن الاستعلام عنها بواسطة المتصفحات وبرامج العميل الأخرى.
على الويب ، أثبتت قوائم إبطال الشهادات (CRLs) عدم فعاليتها عمليًا وتم استبدالها بحلول أخرى للتحقق من الإبطال ، بما في ذلك بروتوكول OCSP (المنشور في RFC 2560) ، OCSP Stapling (منشور في RFC 6066 ، القسم 8، باسم "طلب حالة الشهادة") ، ومجموعة متنوعة من الحلول الخاصة بالبائع التي يتم تنفيذها في متصفحات الويب المختلفة. لمزيد من المعلومات حول التاريخ الشائك لفحص الإلغاء وكيف تتحقق الخزانات الحالية من حالة إبطال الشهادات ، يرجى قراءة مقالاتنا ، تحسين تحميل الصفحة: تدبيس OCSPو كيف تتعامل المتصفحات مع بروتوكول SSL المبطل /TLS الشهادات؟
الأسئلة المتكررة
X.509 هو تنسيق قياسي لـ شهادات المفتاح العامالمستندات الرقمية التي تربط أزواج مفاتيح التشفير بأمان مع هويات مثل مواقع الويب أو الأفراد أو المنظمات. RFC 5280 توصيف شهادة X.509 v3 وقائمة إبطال شهادة X.509 v2 (CRL) ، ويصف خوارزمية للتحقق من مسار شهادة X.509.
تتضمن التطبيقات الشائعة لشهادات X.509 SSL /TLS و HTTPS لتصفح الويب المصدق عليه والمشفّر ، والبريد الإلكتروني الموقّع والمشفر عبر S/MIME بروتوكول، توقيع الرمز, توقيع الوثيقة, مصادقة العميلو الهوية الإلكترونية الصادرة عن جهة حكومية.