X.509 jest standardowym formatem dla certyfikaty klucza publicznego, dokumenty cyfrowe, które bezpiecznie kojarzą pary kluczy kryptograficznych z tożsamościami, takimi jak strony internetowe, osoby lub organizacje.
Po raz pierwszy wprowadzony w 1988 roku wraz ze standardami X.500 dla elektronicznych usług katalogowych, X.509 został dostosowany do użytku w Internecie przez infrastrukturę klucza publicznego IETF (X.509) (PKIX) grupa robocza. RFC 5280 profiluje certyfikat X.509 v3, listę odwołania certyfikatów X.509 v2 (CRL) i opisuje algorytm sprawdzania poprawności ścieżki certyfikatu X.509.
Typowe zastosowania certyfikatów X.509 obejmują:
- SSL /TLS i HTTPS do uwierzytelnionego i szyfrowanego przeglądania stron internetowych
- Podpisany i zaszyfrowany e-mail za pośrednictwem S/MIME protokół
- Podpisywanie kodu
- Podpisywanie dokumentów
- Uwierzytelnianie klienta
- Wydany przez rząd elektroniczny identyfikator
Kluczowe pary i podpisy
Bez względu na zamierzone zastosowania, każdy certyfikat X.509 zawiera klucz publiczny, Podpis cyfrowyoraz informacje dotyczące zarówno tożsamości związanej z certyfikatem, jak i jego wydania urząd certyfikacji (CA):
- Połączenia klucz publiczny jest częścią para kluczy który obejmuje również prywatny klucz. Klucz prywatny jest bezpieczny, a klucz publiczny jest zawarty w certyfikacie. Ta para kluczy publiczny / prywatny:
- Pozwala właścicielowi klucza prywatnego na cyfrowe podpisywanie dokumentów; podpisy te mogą być zweryfikowane przez każdego z odpowiednim kluczem publicznym.
- Umożliwia stronom trzecim wysyłanie wiadomości zaszyfrowanych za pomocą klucza publicznego, który może odszyfrować tylko właściciel klucza prywatnego.
- A Podpis cyfrowy to zakodowany skrót (skrót o stałej długości) dokumentu, który został zaszyfrowany kluczem prywatnym. Gdy certyfikat X.509 jest podpisany przez publicznie zaufany urząd certyfikacji, np. SSL.com, certyfikat może być wykorzystywany przez stronę trzecią do weryfikacji tożsamości podmiotu, który go przedstawia.Uwaga: Nie wszystkie aplikacje certyfikatów X.509 wymagają zaufania publicznego. Na przykład firma może wydawać własne, zaufane certyfikaty do użytku wewnętrznego. Aby uzyskać więcej informacji, przeczytaj nasz artykuł na temat Prywatny vs. publiczny PKI.
- Każdy certyfikat X.509 zawiera pola określające przedmiot, wystawiający CAi inne wymagane informacje, takie jak certyfikat wersja i okres ważności. Ponadto certyfikaty v3 zawierają zestaw rozszerzenia które definiują właściwości, takie jak dopuszczalne zastosowania kluczy i dodatkowe tożsamości, z którymi można powiązać parę kluczy.
Pola i rozszerzenia certyfikatu
Aby przejrzeć zawartość typowego certyfikatu X.509 w środowisku naturalnym, zbadamy protokół SSL /TLS certyfikat, jak pokazano w Google Chrome. (Możesz to wszystko sprawdzić we własnej przeglądarce dla dowolnej witryny HTTPS, klikając blokadę po lewej stronie paska adresu).
- Pierwsza grupa szczegółów zawiera informacje o Temat
, w tym nazwę i adres firmy oraz Nazwa zwyczajowa (lub w pełni kwalifikowana nazwa domeny) witryny, którą certyfikat ma chronić. (Uwaga: dotychczasowy Numer seryjny w tym polu tematu znajduje się numer identyfikacyjny firmy w Nevadzie, a nie numer seryjny samego certyfikatu).
- Przewijając w dół, napotykamy informacje o Emitent. Nieprzypadkowo w tym przypadku Organizacja to „SSL Corp” zarówno dla podmiotu, jak i wystawcy, ale wystawcy Nazwa zwyczajowa to nazwa wystawiającego certyfikatu urzędu certyfikacji, a nie adres URL.
- Poniżej Emitenta widnieje certyfikat Numer seryjny (dodatnia liczba całkowita jednoznacznie identyfikująca certyfikat), Wersja X.509 (3), Algorytm podpisui daty określające certyfikat Okres ważności.
- Następnie dochodzimy do Klucz publiczny, podpisi powiązane informacje.
- Oprócz powyższych pól certyfikaty X.509 v3 obejmują grupę Rozszerzenia które oferują dodatkową elastyczność w korzystaniu z certyfikatów. Na przykład Nazwa zastępcza tematu rozszerzenie pozwala powiązać certyfikat z wieloma tożsamościami. (Z tego powodu certyfikaty z wieloma domenami są czasami nazywane Certyfikaty SAN). W poniższym przykładzie możemy zobaczyć, że certyfikat faktycznie obejmuje jedenaście różnych subdomen SSL.com:
- Połączenia Odciski palców pokazane poniżej informacje o certyfikacie w Chrome nie są częścią samego certyfikatu, ale są niezależnie obliczonymi skrótami, których można użyć do jednoznacznej identyfikacji certyfikatu.
Łańcuchy certyfikatów
Z przyczyn administracyjnych i związanych z bezpieczeństwem certyfikaty X.509 są zwykle łączone w więzy do walidacji. Jak pokazano na poniższym zrzucie ekranu z Google Chrome, SSL /TLS certyfikat dla www.ssl.com jest podpisany jednym z certyfikatów pośrednich SSL.com, SSL.com EV SSL Intermediate CA RSA R3. Z kolei certyfikat pośredni jest podpisany przez root SSL.com EV RSA:
W przypadku witryn zaufanych publicznie serwer internetowy zapewnia własne byt końcowy certyfikat oraz wszelkie półprodukty wymagane do walidacji. Certyfikat głównego urzędu certyfikacji wraz z kluczem publicznym zostanie uwzględniony w systemie operacyjnym użytkownika końcowego i / lub aplikacji przeglądarki, co spowoduje ukończenie łańcuch zaufania.
Unieważnienie
Certyfikaty X.509, które muszą zostać unieważnione przed ich wydaniem Nieważne po data może być odwołany. Jak wspomniano powyżej, RFC 5280 profile listy odwołania certyfikatów (CRL), listy odwołanych certyfikatów ze znacznikiem czasu, które mogą być odpytywane przez przeglądarki i inne oprogramowanie klienckie.
W Internecie listy CRL okazały się nieskuteczne w praktyce i zostały zastąpione przez inne rozwiązania sprawdzania odwołania, w tym protokół OCSP (opublikowany w RFC 2560), Zszywanie OCSP (opublikowane w RFC 6066, sekcja 8, jako „Żądanie statusu certyfikatu”) oraz asortyment rozwiązań specyficznych dla dostawcy zaimplementowanych w różnych przeglądarkach internetowych. Aby uzyskać więcej informacji na temat drażliwej historii sprawdzania unieważnień i tego, jak obecni bowserowie sprawdzają status unieważnienia certyfikatów, przeczytaj nasze artykuły, Optymalizacja ładowania strony: Zszywanie OCSP, Jak przeglądarki obsługują unieważniony protokół SSL /TLS Certyfikaty
Często Zadawane Pytania
X.509 jest standardowym formatem dla certyfikaty klucza publicznego, dokumenty cyfrowe, które bezpiecznie kojarzą pary kluczy kryptograficznych z tożsamościami, takimi jak strony internetowe, osoby lub organizacje. RFC 5280 profiluje certyfikat X.509 v3, listę odwołania certyfikatów X.509 v2 (CRL) i opisuje algorytm sprawdzania poprawności ścieżki certyfikatu X.509.
Typowe zastosowania certyfikatów X.509 obejmują SSL /TLS i HTTPS do uwierzytelnionego i zaszyfrowanego przeglądania stron internetowych, podpisanych i zaszyfrowanych wiadomości e-mail za pośrednictwem S/MIME protokół, podpisywanie kodu, podpisywanie dokumentów, uwierzytelnianie klienta, elektroniczny identyfikator wydany przez rząd.