Che cos'è un certificato X.509?

X.509 è un formato standard per i certificati a chiave pubblica. Ogni certificato X.509 include una chiave pubblica, informazioni identificative e una firma digitale.

Contenuto relativo

Vuoi continuare a imparare?

Iscriviti alla newsletter di SSL.com, rimani informato e sicuro.

X.509 è un formato standard per certificati a chiave pubblica, documenti digitali che associano in modo sicuro coppie di chiavi crittografiche a identità come siti Web, individui o organizzazioni.

Introdotto per la prima volta nel 1988 insieme agli standard X.500 per i servizi di directory elettronica, X.509 è stato adattato per l'uso di Internet dall'infrastruttura a chiave pubblica di IETF (X.509) (PKIX) gruppo di lavoro. RFC 5280 profila il certificato X.509 v3, l'elenco di revoche di certificati X.509 v2 (CRL) e descrive un algoritmo per la convalida del percorso del certificato X.509.

Le applicazioni comuni dei certificati X.509 includono:

Hai bisogno di un certificato? SSL.com ti copre. Confronta le opzioni qui per trovare la scelta giusta per te, da S/MIME e certificati di firma codice e altro ancora.

ORDINA ORA

Coppie chiave e firme

Indipendentemente dalle applicazioni previste, ogni certificato X.509 include a Chiave pubblica, firma digitalee informazioni sull'identità associata al certificato e sulla sua emissione autorità di certificazione (CA):

  • La Chiave pubblica fa parte di a coppia di chiavi che include anche a chiave privata. La chiave privata è protetta e la chiave pubblica è inclusa nel certificato. Questa coppia di chiavi pubblica / privata:
    • Consente al proprietario della chiave privata di firmare digitalmente i documenti; queste firme possono essere verificate da chiunque disponga della chiave pubblica corrispondente.
    • Consente a terzi di inviare messaggi crittografati con la chiave pubblica che solo il proprietario della chiave privata può decrittografare.
  • A firma digitale è un hash codificato (digest a lunghezza fissa) di un documento che è stato crittografato con una chiave privata. Quando un certificato X.509 viene firmato da un CA di fiducia pubblica, come SSL.com, il certificato può essere utilizzato da una terza parte per verificare l'identità dell'entità che lo presenta.
    Nota: Non tutte le applicazioni dei certificati X.509 richiedono l'attendibilità pubblica. Ad esempio, un'azienda può emettere i propri certificati attendibili privatamente per uso interno. Per ulteriori informazioni, leggi il nostro articolo su Privato vs. Pubblico PKI.
  • Ogni certificato X.509 include campi che specificano il soggetto, CA emittentee altre informazioni richieste come quelle del certificato versione periodo di validità. Inoltre, i certificati v3 contengono un set di estensioni che definiscono proprietà come usi accettabili delle chiavi e identità aggiuntive a cui associare una coppia di chiavi.

Campi ed estensioni del certificato

Per esaminare il contenuto di un tipico certificato X.509 in natura, esamineremo SSL /TLS certificato, come mostrato in Google Chrome. (Puoi controllare tutto questo nel tuo browser per qualsiasi sito Web HTTPS facendo clic sul lucchetto sul lato sinistro della barra degli indirizzi.)

  • Il primo gruppo di dettagli include informazioni sul Oggetto, inclusi nome e indirizzo dell'azienda e Nome comune (o Nome di dominio completo) del sito Web che il certificato intende proteggere. (Nota: , il Numero di serie mostrato in questo campo soggetto è un numero di identificazione commerciale del Nevada, non il numero seriale del certificato stesso.)
    Nome soggetto
  • Scorrendo verso il basso, incontriamo informazioni su Emittente. Non a caso, in questo caso, il Organizzazione è "SSL Corp" sia per il soggetto che per l'emittente, ma è l'emittente Nome comune è il nome del certificato CA emittente anziché un URL.
    Emittente
  • Sotto l'Emittente, vediamo il certificato Numero di serie (un numero intero positivo che identifica in modo univoco il certificato), Versione X.509 (3), la Algoritmo della firmae le date che specificano il certificato Periodo di validità.
    numero di serie, versione, algoritmo, validità
  • Quindi, arriviamo al chiave pubblicaFirmae informazioni associate.
    Chiave pubblica e firma
  • Oltre ai campi sopra, i certificati X.509 v3 includono un gruppo di Estensioni che offrono ulteriore flessibilità nell'uso dei certificati. Ad esempio, il Nome alternativo oggetto l'estensione consente al certificato di essere associato a più identità. (Per questo motivo, i certificati a più domini vengono talvolta indicati come Certificati SAN). Nell'esempio seguente, possiamo vedere che il certificato copre effettivamente undici diversi sottodomini SSL.com:
    Nome alternativo oggetto
  • La Le impronte digitali mostrato di seguito, le informazioni sul certificato in Chrome non fanno parte del certificato stesso, ma sono hash calcolati in modo indipendente che possono essere utilizzati per identificare in modo univoco un certificato.

Catene di certificazione

Per motivi sia amministrativi sia di sicurezza, i certificati X.509 sono generalmente combinati in Catene per la convalida. Come mostrato nello screenshot di Google Chrome di seguito, SSL /TLS certificato per www.ssl.com è firmato da uno dei certificati intermedi di SSL.com, SSL.com EV SSL Intermediate CA RSA R3. A sua volta, il certificato intermedio viene firmato dalla radice EV RSA di SSL.com:

Catena di fiducia

Per i siti Web di fiducia pubblica, il server Web fornirà il proprio entità finale certificato, più eventuali intermedi richiesti per la convalida. Il certificato CA radice con la sua chiave pubblica verrà incluso nel sistema operativo dell'utente finale e / o nell'applicazione browser, risultando in un file catena di fiducia.

Revoca

Certificati X.509 che devono essere invalidati prima del loro Non valido dopo la data potrebbe essere revocato. Come menzionato sopra,  RFC 5280 profili elenchi di revoche di certificati (CRL), elenchi con data e ora dei certificati revocati che possono essere interrogati dai browser e da altri software client.

Sul Web, i CRL si sono dimostrati inefficaci nella pratica e sono stati sostituiti da altre soluzioni per il controllo della revoca, incluso il protocollo OCSP (pubblicato in RFC 2560), OCSP Stapling (pubblicato in RFC 6066, sezione 8, come "Richiesta di stato del certificato") e un assortimento di soluzioni specifiche del fornitore implementate in vari browser web. Per ulteriori informazioni sulla spinosa storia del controllo delle revoche e su come gli attuali bowser controllano lo stato di revoca dei certificati, si prega di leggere i nostri articoli, Ottimizzazione del caricamento della pagina: pinzatura OCSPIn che modo i browser gestiscono SSL revocato /TLS I certificati?

Domande frequenti

Cos'è un certificato X.509?

X.509 è un formato standard per certificati a chiave pubblica, documenti digitali che associano in modo sicuro coppie di chiavi crittografiche a identità come siti Web, individui o organizzazioni. RFC 5280 profila il certificato X.509 v3, l'elenco di revoche di certificati X.509 v2 (CRL) e descrive un algoritmo per la convalida del percorso del certificato X.509.

A cosa servono i certificati X.509?

Le applicazioni comuni dei certificati X.509 includono SSL /TLS e HTTPS per la navigazione web autenticata e crittografata, e-mail firmata e crittografata tramite S/MIME protocollo, firma del codice, firma del documento, autenticazione cliente ID elettronico rilasciato dal governo.

Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREoppure fai clic sul link della chat in basso a destra in questa pagina. Puoi anche trovare risposte a molte domande comuni di supporto nel nostro base di conoscenza.

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.