X.509 adalah format standar untuk sertifikat kunci publik, dokumen digital yang secara aman mengaitkan pasangan kunci kriptografis dengan identitas seperti situs web, individu, atau organisasi.
Pertama kali diperkenalkan pada tahun 1988 bersamaan dengan standar X.500 untuk layanan direktori elektronik, X.509 telah diadaptasi untuk penggunaan internet oleh IETF's Public-Key Infrastructure (X.509) (PKIX) kelompok kerja. RFC 5280 profil sertifikat X.509 v3, daftar pencabutan sertifikat X.509 v2 (CRL), dan menjelaskan algoritma untuk validasi jalur sertifikat X.509.
Aplikasi umum sertifikat X.509 meliputi:
- SSL /TLS dan HTTPS untuk penelusuran web terotentikasi dan terenkripsi
- Email yang ditandatangani dan dienkripsi melalui S/MIME protokol
- Penandatanganan kode
- Penandatanganan dokumen
- Otentikasi klien
- ID elektronik yang dikeluarkan pemerintah
Pasangan dan Tanda Tangan Utama
Tidak peduli aplikasi yang dimaksud, setiap sertifikat X.509 mencakup a kunci publik, tanda tangan digital, dan informasi tentang identitas yang terkait dengan sertifikat dan penerbitannya otoritas sertifikat (CA):
- Grafik kunci publik adalah bagian dari a pasangan kunci itu juga termasuk a kunci pribadi. Kunci pribadi tetap aman, dan kunci publik termasuk dalam sertifikat. Pasangan kunci publik / pribadi ini:
- Mengizinkan pemilik kunci pribadi menandatangani dokumen secara digital; tanda tangan ini dapat diverifikasi oleh siapa saja dengan kunci publik yang sesuai.
- Mengizinkan pihak ketiga mengirim pesan yang dienkripsi dengan kunci publik yang hanya dapat didekripsi oleh pemilik kunci pribadi.
- A tanda tangan digital adalah hash yang dienkode (intisari dengan panjang tetap) dari dokumen yang telah dienkripsi dengan kunci pribadi. Ketika sertifikat X.509 ditandatangani oleh a CA dipercaya publik, seperti SSL.com, sertifikat dapat digunakan oleh pihak ketiga untuk memverifikasi identitas entitas yang mempresentasikannya.Catatan: Tidak semua aplikasi sertifikat X.509 membutuhkan kepercayaan publik. Misalnya, perusahaan dapat menerbitkan sertifikat tepercaya pribadinya untuk penggunaan internal. Untuk informasi lebih lanjut, silakan baca artikel kami di Pribadi vs. Publik PKI.
- Setiap sertifikat X.509 mencakup bidang yang menentukan subyek, mengeluarkan CA, dan informasi lain yang diperlukan seperti sertifikat versi dan masa berlaku. Selain itu, sertifikat v3 berisi satu set ekstensi yang mendefinisikan properti seperti penggunaan kunci yang dapat diterima dan identitas tambahan untuk mengikat pasangan kunci.
Bidang Sertifikat dan Ekstensi
Untuk meninjau konten sertifikat X.509 khas di alam liar, kami akan memeriksa SSL / www.ssl.comTLS sertifikat, seperti yang ditunjukkan di Google Chrome. (Anda dapat memeriksa semua ini di browser Anda sendiri untuk situs web HTTPS dengan mengklik kunci di sebelah kiri bilah alamat.)
- Kelompok rincian pertama termasuk informasi tentang Subjek, termasuk nama dan alamat perusahaan dan Nama yang umum (atau Nama Domain yang Memenuhi Kualifikasi Penuh) dari situs web yang dilindungi sertifikat. (Catatan: itu Nomor seri ditunjukkan dalam bidang subjek ini adalah nomor identifikasi bisnis Nevada, bukan nomor seri sertifikat itu sendiri.)
- Bergulir ke bawah, kami menemukan informasi tentang Penerbit. Bukan kebetulan, dalam hal ini, para Organisasi adalah "SSL Corp" untuk subjek dan penerbit, tetapi penerbitnya Nama yang umum adalah nama yang mengeluarkan sertifikat CA daripada URL.
- Di bawah Penerbit, kami melihat sertifikat Nomor seri (bilangan bulat positif yang secara unik mengidentifikasi sertifikat), Versi X.509 (3), Algoritma Tanda Tangan, dan tanggal yang menentukan sertifikat itu Masa Berlaku.
- Selanjutnya, kita sampai di Key publik, Tanda tangan, dan informasi terkait.
- Selain bidang di atas, sertifikat X.509 v3 menyertakan grup Ekstensi yang menawarkan fleksibilitas tambahan dalam penggunaan sertifikat. Misalnya, Nama alternatif subjek ekstensi memungkinkan sertifikat terikat ke banyak identitas. (Untuk alasan ini, beberapa sertifikat domain terkadang disebut sebagai Sertifikat SAN). Dalam contoh di bawah ini, kita dapat melihat bahwa sertifikat tersebut sebenarnya mencakup sebelas subdomain SSL.com yang berbeda:
- Grafik Sidik jari ditampilkan di bawah informasi sertifikat di Chrome bukan bagian dari sertifikat itu sendiri, tetapi merupakan hash yang dihitung secara independen yang dapat digunakan untuk mengidentifikasi sertifikat secara unik.
Rantai Sertifikat
Untuk alasan terkait administrasi dan keamanan, sertifikat X.509 biasanya digabungkan menjadi rantai untuk validasi. Seperti yang ditunjukkan pada tangkapan layar dari Google Chrome di bawah, SSL /TLS sertifikat untuk www.ssl.com ditandatangani oleh salah satu sertifikat perantara SSL.com, SSL.com EV SSL Intermediate CA RSA R3
. Selanjutnya, sertifikat perantara ditandatangani oleh akar EV RSA SSL.com:
Untuk situs web yang dipercayai publik, server web akan menyediakannya sendiri entitas akhir sertifikat, ditambah perantara yang diperlukan untuk validasi. Sertifikat CA root dengan kunci publiknya akan disertakan dalam sistem operasi pengguna akhir dan / atau aplikasi browser, sehingga menjadi lengkap rantai kepercayaan.
Pencabutan
Sertifikat X.509 yang harus dibatalkan sebelum sertifikat Tidak Berlaku Setelah tanggal mungkin dicabut. Seperti disebutkan di atas, RFC 5280 profil daftar pencabutan sertifikat (CRL), daftar cap waktu dari sertifikat yang dicabut yang dapat ditanyai oleh browser dan perangkat lunak klien lainnya.
Di Web, CRL telah terbukti tidak efektif dalam praktiknya dan telah digantikan oleh solusi lain untuk pemeriksaan pencabutan, termasuk protokol OCSP (diterbitkan dalam RFC 2560), OCSP Stapling (diterbitkan dalam Bahasa Inggris) RFC 6066, bagian 8, sebagai "Permintaan Status Sertifikat"), dan bermacam-macam solusi khusus vendor yang diterapkan di berbagai browser web. Untuk informasi lebih lanjut tentang sejarah rumit pemeriksaan pencabutan dan bagaimana bowser saat ini memeriksa status pencabutan sertifikat, silakan baca artikel kami, Optimalisasi Memuat Halaman: Stapel OCSP, dan Bagaimana Browser Menangani SSL yang Dicabut /TLS Sertifikat?
Tanya Jawab Umum (FAQ)
X.509 adalah format standar untuk sertifikat kunci publik, dokumen digital yang secara aman mengaitkan pasangan kunci kriptografis dengan identitas seperti situs web, individu, atau organisasi. RFC 5280 profil sertifikat X.509 v3, daftar pencabutan sertifikat X.509 v2 (CRL), dan menjelaskan algoritma untuk validasi jalur sertifikat X.509.
Aplikasi umum dari sertifikat X.509 termasuk SSL /TLS dan HTTPS untuk penjelajahan web yang diautentikasi dan dienkripsi, email yang ditandatangani dan dienkripsi melalui S/MIME protokol, penandatanganan kode, penandatanganan dokumen, otentikasi klien, dan tanda pengenal elektronik yang dikeluarkan pemerintah.