X.509 είναι μια τυπική μορφή για δημόσια πιστοποιητικά κλειδιού, ψηφιακά έγγραφα που συσχετίζουν με ασφάλεια κρυπτογραφικά ζεύγη κλειδιών με ταυτότητες όπως ιστότοπους, άτομα ή οργανισμούς.
Για πρώτη φορά το 1988, παράλληλα με τα πρότυπα X.500 για υπηρεσίες ηλεκτρονικών καταλόγων, το X.509 έχει προσαρμοστεί για χρήση στο Διαδίκτυο από την υποδομή δημόσιου κλειδιού της IETF (X.509) (PKIX) ομάδα εργασίας. RFC 5280 προφίλ του πιστοποιητικού X.509 v3, της λίστας ανάκλησης πιστοποιητικού X.509 v2 (CRL) και περιγράφει έναν αλγόριθμο για επικύρωση διαδρομής πιστοποιητικού X.509.
Οι κοινές αιτήσεις πιστοποιητικών X.509 περιλαμβάνουν:
- SSL /TLS και HTTPS για έλεγχο ταυτότητας και κρυπτογράφηση ιστού
- Υπογεγραμμένο και κρυπτογραφημένο email μέσω του S/MIME πρωτόκολλο
- Υπογραφή κώδικα
- Υπογραφή εγγράφου
- Έλεγχος ταυτότητας πελάτη
- Ηλεκτρονική ταυτότητα που εκδίδεται από το κράτος
Βασικά ζεύγη και υπογραφές
Ανεξάρτητα από τις προβλεπόμενες εφαρμογές, κάθε πιστοποιητικό X.509 περιλαμβάνει ένα Δημόσιο κλειδί, ψηφιακή υπογραφήκαι πληροφορίες σχετικά με την ταυτότητα που σχετίζεται με το πιστοποιητικό και την έκδοσή του αρχή έκδοσης πιστοποιητικών (CA):
- Η Δημόσιο κλειδί είναι μέρος ενός ζεύγος κλειδιών που περιλαμβάνει επίσης ένα ιδιωτικό κλειδί. Το ιδιωτικό κλειδί διατηρείται ασφαλές και το δημόσιο κλειδί περιλαμβάνεται στο πιστοποιητικό. Αυτό το ζεύγος δημόσιου / ιδιωτικού κλειδιού:
- Επιτρέπει στον κάτοχο του ιδιωτικού κλειδιού να υπογράφει ψηφιακά έγγραφα. Αυτές οι υπογραφές μπορούν να επαληθευτούν από οποιονδήποτε έχει το αντίστοιχο δημόσιο κλειδί.
- Επιτρέπει σε τρίτους να στέλνουν μηνύματα κρυπτογραφημένα με το δημόσιο κλειδί που μόνο ο κάτοχος του ιδιωτικού κλειδιού μπορεί να αποκρυπτογραφήσει.
- A ψηφιακή υπογραφή είναι ένας κωδικοποιημένος κατακερματισμός (καθορισμένου μήκους) ενός εγγράφου που έχει κρυπτογραφηθεί με ένα ιδιωτικό κλειδί. Όταν ένα πιστοποιητικό X.509 υπογράφεται από ένα δημόσια αξιόπιστη ΑΠ, όπως το SSL.com, το πιστοποιητικό μπορεί να χρησιμοποιηθεί από τρίτο μέρος για την επαλήθευση της ταυτότητας του φορέα που το παρουσιάζει.Σημείωση: Δεν απαιτούν όλες οι εφαρμογές πιστοποιητικών X.509 δημόσια εμπιστοσύνη. Για παράδειγμα, μια εταιρεία μπορεί να εκδώσει τα δικά της ιδιωτικά αξιόπιστα πιστοποιητικά για εσωτερική χρήση. Για περισσότερες πληροφορίες, διαβάστε το άρθρο μας στο Ιδιωτικό έναντι δημόσιου PKI.
- Κάθε πιστοποιητικό X.509 περιλαμβάνει πεδία που καθορίζουν το θέμα, εκδίδοντας ΑΠκαι άλλες απαιτούμενες πληροφορίες όπως το πιστοποιητικό εκδοχή και περίοδο ισχύος. Επιπλέον, τα πιστοποιητικά v3 περιέχουν ένα σύνολο επεκτάσεις που ορίζουν ιδιότητες όπως αποδεκτές χρήσεις κλειδιών και πρόσθετες ταυτότητες για να συνδέσουν ένα ζεύγος κλειδιών.
Πεδία πιστοποιητικών και επεκτάσεις
Για να ελέγξουμε τα περιεχόμενα ενός τυπικού πιστοποιητικού X.509 στην άγρια φύση, θα εξετάσουμε το SSL του www.ssl.com /TLS πιστοποιητικό, όπως φαίνεται στο Google Chrome. (Μπορείτε να ελέγξετε όλα αυτά στο δικό σας πρόγραμμα περιήγησης για οποιονδήποτε ιστότοπο HTTPS κάνοντας κλικ στο κλείδωμα στην αριστερή πλευρά της γραμμής διευθύνσεων.)
- Η πρώτη ομάδα λεπτομερειών περιλαμβάνει πληροφορίες σχετικά με το Θέμα, συμπεριλαμβανομένου του ονόματος και της διεύθυνσης της εταιρείας και του Συνηθισμένο όνομα (ή πλήρως αναγνωρισμένο όνομα τομέα) του ιστότοπου που προορίζεται να προστατεύσει το πιστοποιητικό. (Σημείωση: ο Σειριακός αριθμός που εμφανίζεται σε αυτό το πεδίο θέματος είναι ένας αριθμός αναγνώρισης επιχείρησης της Νεβάδας και όχι ο σειριακός αριθμός του ίδιου του πιστοποιητικού.)
- Μετακινηθείτε προς τα κάτω, συναντούμε πληροφορίες σχετικά με το Εκδότης. Όχι τυχαία, σε αυτήν την περίπτωση, το Οργανισμός είναι "SSL Corp" τόσο για το θέμα όσο και για τον εκδότη, αλλά για τον εκδότη Συνηθισμένο όνομα είναι το όνομα του πιστοποιητικού έκδοσης CA και όχι ενός URL.
- Κάτω από τον Εκδότη, βλέπουμε τα πιστοποιητικά Σειριακός αριθμός (ένας θετικός ακέραιος που προσδιορίζει μοναδικά το πιστοποιητικό), Έκδοση X.509 (3), το Αλγόριθμος υπογραφής, και ημερομηνίες που καθορίζουν τα πιστοποιητικά Περίοδος ισχύος.
- Στη συνέχεια, φτάνουμε στο δημόσιο κλειδί, Υπογραφήκαι σχετικές πληροφορίες.
- Εκτός από τα παραπάνω πεδία, τα πιστοποιητικά X.509 v3 περιλαμβάνουν μια ομάδα επεκτάσεις που προσφέρουν επιπλέον ευελιξία στη χρήση πιστοποιητικών. Για παράδειγμα, το Αντικείμενο εναλλακτικού ονόματος Η επέκταση επιτρέπει στο πιστοποιητικό να δεσμεύεται σε πολλές ταυτότητες. (Για αυτόν τον λόγο, τα πιστοποιητικά πολλαπλών τομέων αναφέρονται μερικές φορές ως Πιστοποιητικά SAN). Στο παρακάτω παράδειγμα, μπορούμε να δούμε ότι το πιστοποιητικό καλύπτει πραγματικά έντεκα διαφορετικούς υποτομείς SSL.com:
- Η Δακτυλικά αποτυπώματα παρακάτω, οι πληροφορίες πιστοποιητικού στο Chrome δεν αποτελούν μέρος του ίδιου του πιστοποιητικού, αλλά είναι ανεξάρτητοι υπολογισμένοι κατακερματισμοί που μπορούν να χρησιμοποιηθούν για τον μοναδικό προσδιορισμό ενός πιστοποιητικού.
Αλυσίδες πιστοποιητικών
Για λόγους διοικητικούς και για λόγους ασφαλείας, τα πιστοποιητικά X.509 συνδυάζονται συνήθως σε αλυσίδες για την επικύρωση. Όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης από το Google Chrome, το SSL /TLS πιστοποιητικό για το www.ssl.com υπογράφεται από ένα από τα ενδιάμεσα πιστοποιητικά SSL.com, SSL.com EV SSL Intermediate CA RSA R3. Με τη σειρά του, το ενδιάμεσο πιστοποιητικό υπογράφεται από τη ρίζα EV RSA του SSL.com:
Για αξιόπιστους ιστότοπους, ο διακομιστής ιστού θα παρέχει δικούς του τελική οντότητα πιστοποιητικό, καθώς και τυχόν ενδιάμεσα που απαιτούνται για επικύρωση. Το πιστοποιητικό root CA με το δημόσιο κλειδί του θα συμπεριληφθεί στο λειτουργικό σύστημα του τελικού χρήστη ή / και στην εφαρμογή προγράμματος περιήγησης, με αποτέλεσμα να ολοκληρωθεί αλυσίδα εμπιστοσύνης.
Ανάκληση
X.509 πιστοποιητικά που πρέπει να ακυρωθούν πριν από αυτά Δεν ισχύει μετά ημερομηνία μπορεί να είναι ανακληθεί. Οπως αναφέρθηκε προηγουμένως, RFC 5280 Λίστες ανάκλησης πιστοποιητικών προφίλ (CRL), λίστες με ανάκληση πιστοποιητικών που έχουν ανακληθεί από το χρόνο και μπορούν να υποβληθούν σε ερώτηση από προγράμματα περιήγησης και άλλο λογισμικό πελάτη.
Στο Διαδίκτυο, τα CRL έχουν αποδειχθεί αναποτελεσματικά στην πράξη και έχουν αντικατασταθεί από άλλες λύσεις για τον έλεγχο ανάκλησης, συμπεριλαμβανομένου του πρωτοκόλλου OCSP (δημοσιεύθηκε στο RFC 2560), OCSP Stapling (δημοσιεύθηκε στο RFC 6066, ενότητα 8, ως "Αίτημα κατάστασης πιστοποιητικού"), και μια ποικιλία λύσεων ειδικά για προμηθευτές που εφαρμόζονται σε διάφορα προγράμματα περιήγησης ιστού. Για περισσότερες πληροφορίες σχετικά με το ακανθώδες ιστορικό του ελέγχου ανάκλησης και τον τρόπο με τον οποίο τα τρέχοντα bowsers ελέγχουν την κατάσταση ανάκλησης των πιστοποιητικών, διαβάστε τα άρθρα μας, Βελτιστοποίηση φόρτωσης σελίδας: Συρραφή OCSP, να Πώς χειρίζονται τα προγράμματα περιήγησης το ανακληθέν SSL /TLS Πιστοποιητικά;
Συχνές Ερωτήσεις
X.509 είναι μια τυπική μορφή για δημόσια πιστοποιητικά κλειδιού, ψηφιακά έγγραφα που συσχετίζουν με ασφάλεια κρυπτογραφικά ζεύγη κλειδιών με ταυτότητες όπως ιστότοπους, άτομα ή οργανισμούς. RFC 5280 προφίλ του πιστοποιητικού X.509 v3, της λίστας ανάκλησης πιστοποιητικού X.509 v2 (CRL) και περιγράφει έναν αλγόριθμο για επικύρωση διαδρομής πιστοποιητικού X.509.
Οι κοινές εφαρμογές των πιστοποιητικών X.509 περιλαμβάνουν SSL /TLS και HTTPS για έλεγχο ταυτότητας και κρυπτογράφηση ιστού, υπογεγραμμένο και κρυπτογραφημένο email μέσω του S/MIME πρωτόκολλο, υπογραφή κώδικα, υπογραφή εγγράφου, έλεγχος ταυτότητας πελάτη, να κυβερνητική ηλεκτρονική ταυτότητα.