¿Qué es un certificado X.509?

X.509 es un formato estándar para certificados de clave pública. Cada certificado X.509 incluye una clave pública, información de identificación y una firma digital.

Más información

¿Quieres seguir aprendiendo?

Suscríbase al boletín de SSL.com, manténgase informado y seguro.

X.509 es un formato estándar para certificados de clave pública, documentos digitales que asocian de forma segura pares de claves criptográficas con identidades como sitios web, individuos u organizaciones.

Introducido por primera vez en 1988 junto con los estándares X.500 para servicios de directorio electrónico, X.509 ha sido adaptado para uso de Internet por la Infraestructura de clave pública de IETF (X.509) (PKIX) grupo de trabajo. RFC 5280 perfila el certificado X.509 v3, la lista de revocación de certificados X.509 v2 (CRL) y describe un algoritmo para la validación de la ruta del certificado X.509.

Las aplicaciones comunes de los certificados X.509 incluyen:

¿Necesitas un certificado? SSL.com lo tiene cubierto. Compara opciones aquí para encontrar la mejor opción para usted, desde S/MIME y certificados de firma de código y más.

HAZ TU PEDIDO

Pares clave y firmas

No importa su (s) aplicación (es) prevista (s), cada certificado X.509 incluye un Llave pública, firma digitale información sobre la identidad asociada con el certificado y su emisión autoridad de certificación (CA):

  • El Llave pública es parte de una Par de claves eso también incluye un llave privada. La clave privada se mantiene segura y la clave pública se incluye en el certificado. Este par de claves pública / privada:
    • Permite al propietario de la clave privada firmar documentos digitalmente; cualquier firma con la clave pública correspondiente puede verificar estas firmas.
    • Permite a terceros enviar mensajes cifrados con la clave pública que solo el propietario de la clave privada puede descifrar.
  • A firma digital es un hash codificado (resumen de longitud fija) de un documento que se ha cifrado con una clave privada. Cuando un certificado X.509 está firmado por un CA de confianza pública, como SSL.com, el certificado puede ser utilizado por un tercero para verificar la identidad de la entidad que lo presenta.
    Nota: No todas las aplicaciones de certificados X.509 requieren confianza pública. Por ejemplo, una empresa puede emitir sus propios certificados de confianza privados para uso interno. Para obtener más información, lea nuestro artículo sobre Privado vs. Público PKI.
  • Cada certificado X.509 incluye campos que especifican sujeto, emisor de CA, y otra información requerida como el certificado versión periodo de validez. Además, los certificados v3 contienen un conjunto de extensiones que definen propiedades como usos aceptables de claves e identidades adicionales a las que enlazar un par de claves.

Campos de certificado y extensiones

Para revisar el contenido de un certificado X.509 típico en la naturaleza, examinaremos el SSL / de www.ssl.comTLS certificado, como se muestra en Google Chrome. (Puede verificar todo esto en su propio navegador para cualquier sitio web HTTPS haciendo clic en el candado en el lado izquierdo de la barra de direcciones).

  • El primer grupo de detalles incluye información sobre el Asignatura, incluido el nombre y la dirección de la empresa y el Nombre común (o Nombre de dominio completo) del sitio web que el certificado pretende proteger. (Nota: de la forma más Número de serie en este campo temático se muestra un número de identificación comercial de Nevada, no el número de serie del certificado en sí).
    Nombre del tema
  • Al desplazarnos hacia abajo, encontramos información sobre el Emisor. No por casualidad, en este caso, el Organización/Empresa es "SSL Corp" tanto para el sujeto como para el emisor, pero el emisor Nombre común es el nombre del certificado de CA emisor en lugar de una URL.
    Emisor
  • Debajo del Emisor, vemos el certificado Número de serie (un entero positivo que identifica de forma exclusiva el certificado), Versión X.509 (3), el Algoritmo de firma, y fechas que especifican el certificado Período de validez.
    número de serie, versión, algoritmo, validez
  • A continuación, llegamos a la clave públicaFirmae información asociada.
    Clave pública y firma
  • Además de los campos anteriores, los certificados X.509 v3 incluyen un grupo de Prórrogas de tiempo para presentar declaraciones de impuestos que ofrecen flexibilidad adicional en el uso del certificado. Por ejemplo, el Nombre alternativo del sujeto La extensión permite que el certificado esté vinculado a múltiples identidades. (Por esta razón, los certificados de dominio múltiple a veces se denominan Certificados SAN) En el siguiente ejemplo, podemos ver que el certificado en realidad cubre once subdominios SSL.com diferentes:
    Nombre alternativo del sujeto
  • El Huellas dactilares que se muestra a continuación, la información del certificado en Chrome no forma parte del certificado en sí, sino que son valores hash calculados de forma independiente que se pueden utilizar para identificar de forma exclusiva un certificado.

Cadenas de certificados

Por razones administrativas y de seguridad, los certificados X.509 generalmente se combinan en cadenas para validación. Como se muestra en la captura de pantalla de Google Chrome a continuación, el SSL /TLS El certificado para www.ssl.com está firmado por uno de los certificados intermedios de SSL.com, SSL.com EV SSL Intermediate CA RSA R3. A su vez, el certificado intermedio está firmado por la raíz EV RSA de SSL.com:

Cadena de confianza

Para sitios web de confianza pública, el servidor web proporcionará su propio entidad final certificado, además de los intermedios necesarios para la validación. El certificado de CA raíz con su clave pública se incluirá en el sistema operativo del usuario final y / o la aplicación del navegador, lo que dará como resultado una cadena de confianza.

Revocación

Certificados X.509 que deben ser invalidados antes de su No válido después la fecha puede ser revocado. Como se ha mencionado más arriba,  RFC 5280 perfiles de listas de revocación de certificados (CRL), listas con marcas de tiempo de certificados revocados que pueden ser consultados por navegadores y otro software cliente.

En la Web, las CRL han demostrado ser ineficaces en la práctica y han sido reemplazadas por otras soluciones para la verificación de revocación, incluido el protocolo OCSP (publicado en RFC 2560), Grapado OCSP (publicado en RFC 6066, sección 8, como "Solicitud de estado del certificado") y una variedad de soluciones específicas de proveedores implementadas en varios navegadores web. Para obtener más información sobre la espinosa historia de la verificación de revocación y cómo los bowsers actuales verifican el estado de revocación de los certificados, lea nuestros artículos, Optimización de carga de página: grapado OCSP¿Cómo manejan los navegadores SSL revocado?TLS Certificados?

Preguntas frecuentes

¿Qué es un certificado X.509?

X.509 es un formato estándar para certificados de clave pública, documentos digitales que asocian de forma segura pares de claves criptográficas con identidades como sitios web, individuos u organizaciones. RFC 5280 perfila el certificado X.509 v3, la lista de revocación de certificados X.509 v2 (CRL) y describe un algoritmo para la validación de la ruta del certificado X.509.

¿Para qué se utilizan los certificados X.509?

Las aplicaciones comunes de los certificados X.509 incluyen SSL /TLS y HTTPS para navegación web autenticada y encriptada, correo electrónico firmado y encriptado a través del S/MIME protocolo, firma de código, firma de documentos, autenticación de clientey identificación electrónica emitida por el gobierno.

¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página. También puede encontrar respuestas a muchas preguntas de soporte comunes en nuestro base de conocimientos.

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.