X.509 egy a nyilvános kulcs tanúsítványok, digitális dokumentumok, amelyek biztonságosan asszociálják a kriptográfiai kulcspárokat azonosságokkal, például webhelyekkel, egyénekkel vagy szervezetekkel.
Először 1988-ban vezették be az elektronikus címjegyzék-szolgáltatásokra vonatkozó X.500 szabványok mellett, az X.509-et az IETF nyilvános kulcsú infrastruktúrája (X.509) (PKIX) munkacsoport. RFC 5280 profilozza az X.509 v3 tanúsítványt, az X.509 v2 tanúsítvány visszavonási listáját (CRL), és leírja az X.509 tanúsítvány elérési útjának érvényesítésének algoritmusát.
Az X.509 tanúsítványok általános alkalmazásai a következők:
- SSL /TLS és a HTTPS hitelesített és titkosított webböngészéshez
- Aláírt és titkosított e-mail a S/MIME protokoll
- Kód aláírás
- A dokumentum aláírása
- Ügyfél-hitelesítés
- Kormány által kibocsátott elektronikus igazolvány
Kulcspárok és aláírások
Nem számít a tervezett alkalmazás (ok) tól, minden X.509 tanúsítvány tartalmaz egy a nyilvános kulcs, digitális aláírás, valamint a tanúsítvánnyal és a kibocsátásával kapcsolatos azonosító adatokkal tanúsító hatóság (CA):
- A nyilvános kulcs része a kulcspár amely magában foglalja a magánkulcs. A privát kulcs biztonságban van, és a nyilvános kulcs szerepel a tanúsítványban. Ez a nyilvános / privát kulcspár:
- Lehetővé teszi a magánkulcs tulajdonosa számára a dokumentumok digitális aláírását; ezeket az aláírásokat bárki ellenőrizheti a megfelelő nyilvános kulccsal.
- Lehetővé teszi a harmadik felek számára, hogy nyilvános kulccsal titkosított üzeneteket küldjenek, amelyeket csak a magánkulcs tulajdonosa dekódolhat.
- A digitális aláírás egy titkos kulccsal titkosított dokumentum kódolt kivonata (fix hosszúságú kivonat). Amikor az X.509 tanúsítványt a nyilvánosan megbízható CA, mint például az SSL.com, a tanúsítványt egy harmadik fél felhasználhatja az azt bemutató entitás személyazonosságának ellenőrzésére.Jegyzet: Az X.509 tanúsítványok nem minden alkalmazásához szükséges nyilvános bizalom. Például egy vállalat kiadhatja saját magánbiztonsági tanúsítványait belső használatra. További információért olvassa el cikkünket Privát vs nyilvános PKI.
- Minden X.509 tanúsítvány mezőket tartalmaz, amelyek meghatározzák a tárgy, kiállító CAés egyéb szükséges információk, például a tanúsítványok változat és a érvényességi idő. Ezenkívül a v3 tanúsítványok egy sorozatot tartalmaznak kiterjesztések amelyek olyan tulajdonságokat határoznak meg, mint az elfogadható kulcshasználatok és további azonosságok, amelyekhez kulcspár kötni lehet.
Tanúsítványmezők és kiterjesztések
Egy tipikus X.509 tanúsítvány tartalmának vadonban történő áttekintéséhez megvizsgáljuk a www.ssl.com SSL /TLS tanúsítvány, ahogy a Google Chrome mutatja. (Mindezt a böngészőjében bármilyen HTTPS-webhelyen ellenőrizheti, ha a címsor bal oldalán található zárra kattint.)
- A részletek első csoportja információkat tartalmaz a Tárgy, ideértve a társaság és a társaság nevét és címét Gyakori név (vagy teljesen minősített domain név) azon webhelyen, amelyet a tanúsítvány védeni szándékozik. (Jegyzet: a Sorozatszám ebben a tárgymezőben egy Nevada üzleti azonosító szám, nem magának a tanúsítványnak a sorszáma.)
- Lefelé gördülve információkat találunk a Kibocsátó. Nem véletlenszerűen, ebben az esetben a Szervezet az „SSL Corp” mind az alany, mind a kibocsátó számára, de a kibocsátóé Gyakori név a kiadó CA tanúsítvány neve, nem pedig az URL.
- A Kibocsátó alatt a tanúsítványokat látjuk Sorozatszám (pozitív egész szám, amely egyértelműen azonosítja a tanúsítványt), X.509 verzió (3), a Aláírás algoritmus, és a tanúsítványokat meghatározó dátumok Érvényességi időszak.
- Ezután megérkezünk a nyilvános kulcs, aláírás, és a kapcsolódó információk.
- A fenti mezőkön kívül az X.509 v3 tanúsítványok egy csoportot tartalmaznak Extensions amelyek további rugalmasságot kínálnak a tanúsítványok használatában. Például a Tárgy alternatív neve A kiterjesztés lehetővé teszi a tanúsítvány több identitáshoz kötését. (Ezért a több domain tanúsítványokat néha hivatkoznak SAN tanúsítványok). Az alábbi példában láthatjuk, hogy a tanúsítvány valójában tizenegy különböző SSL.com aldomainre terjed ki:
- A Az ujjlenyomatok A tanúsítvány alatt a Chrome adatai nem maguk a tanúsítvány részét képezik, hanem függetlenül számított hashek, amelyek felhasználhatók a tanúsítvány egyedi azonosításához.
Bizonyítványláncok
Mind adminisztratív, mind biztonsági okokból az X.509 tanúsítványokat általában egyesítik láncok érvényesítésre. Amint az a Google Chrome alábbi képernyőképén látható, az SSL /TLS a www.ssl.com tanúsítványt az SSL.com egyik köztes tanúsítványa írja alá, SSL.com EV SSL Intermediate CA RSA R3. Viszont a köztes tanúsítványt az SSL.com EV RSA gyökere írja alá:
A nyilvánosan megbízható webhelyek számára a webszerver biztosítja a sajátját végfelhasználói tanúsítvány, valamint az érvényesítéshez szükséges köztes termékek. A nyilvános kulccsal ellátott gyökér-CA tanúsítvány bekerül a végfelhasználó operációs rendszerébe és / vagy a böngésző alkalmazásába, aminek eredményeként teljes lesz bizalmi lánc.
Visszavonás
X.509 tanúsítványok, amelyeket érvényteleníteni kell előttük Nem érvényes dátum lehet visszavont. Fent említett, RFC 5280 a tanúsítványok visszavonási listái (CRL), a visszavont tanúsítványok időbélyeggel ellátott listái, amelyeket a böngészők és más kliens szoftverek lekérdezhetnek.
Az interneten a CRL-ek a gyakorlatban hatástalannak bizonyultak, és helyettesítik azokat a visszavonás-ellenőrzés más megoldásaival, ideértve az OCSP protokollt ( RFC 2560), OCSP tűzés (közzétett RFC 6066, 8. szakasz, „tanúsítványi állapotkérésként”), valamint különféle webböngészőkben megvalósított gyártóspecifikus megoldások választéka. Ha további információra van szüksége a visszavonás ellenőrzésének történetéről és arról, hogy a jelenlegi böngészők miként ellenőrzik a tanúsítványok visszavonási állapotát, kérjük, olvassa el cikkeinket, Oldalterhelés optimalizálása: OCSP tűzésés Hogyan kezelik a böngészők a visszavont SSL-t /TLS Tanúsítványok?
Gyakran ismételt kérdések
X.509 egy a nyilvános kulcs tanúsítványok, digitális dokumentumok, amelyek biztonságosan asszociálják a kriptográfiai kulcspárokat azonosságokkal, például webhelyekkel, egyénekkel vagy szervezetekkel. RFC 5280 profilozza az X.509 v3 tanúsítványt, az X.509 v2 tanúsítvány visszavonási listáját (CRL), és leírja az X.509 tanúsítvány elérési útjának érvényesítésének algoritmusát.
Az X.509 tanúsítványok gyakori alkalmazásai a következők: SSL /TLS és a HTTPS hitelesített és titkosított webböngészéshez, aláírt és titkosított e - mailek a S/MIME jegyzőkönyv, kód aláírása, dokumentum aláírása, kliens hitelesítésés kormány által kiadott elektronikus személyi igazolvány.