O que é um certificado X.509?

X.509 é um formato padrão para certificados de chave pública, documentos digitais que associam com segurança pares de chaves criptográficas a identidades como sites, indivíduos ou organizações.

Introduzido pela primeira vez em 1988 junto com os padrões X.500 para serviços de diretório eletrônico, o X.509 foi adaptado para uso da Internet pela Public-Key Infrastructure da IETF (X.509) (PKIX) grupo de trabalho. RFC 5280 perfila o certificado X.509 v3, a lista de revogação de certificados X.509 v2 (CRL) e descreve um algoritmo para validação do caminho do certificado X.509.

Os aplicativos comuns dos certificados X.509 incluem:

Precisa de um certificado? SSL.com oferece cobertura. Compare as opções aqui para encontrar a escolha certa para você, de S/MIME e certificados de assinatura de código e muito mais.

PEÇA AGORA

Pares-chave e assinaturas

Independentemente da (s) aplicação (ões) pretendida (s), cada certificado X.509 inclui um chave pública, assinatura digitale informações sobre a identidade associada ao certificado e sua emissão autoridade de certificação (CA):

  • A chave pública faz parte de um par de chaves que também inclui um chave privada. A chave privada é mantida segura e a chave pública é incluída no certificado. Este par de chaves pública / privada:
    • Permite que o proprietário da chave privada assine documentos digitalmente; essas assinaturas podem ser verificadas por qualquer pessoa com a chave pública correspondente.
    • Permite que terceiros enviem mensagens criptografadas com a chave pública que somente o proprietário da chave privada pode descriptografar.
  • A assinatura digital é um hash codificado (resumo de comprimento fixo) de um documento que foi criptografado com uma chave privada. Quando um certificado X.509 é assinado por um CA publicamente confiável, como SSL.com, o certificado pode ser usado por terceiros para verificar a identidade da entidade que o apresenta.
    Nota: Nem todos os aplicativos de certificados X.509 exigem confiança pública. Por exemplo, uma empresa pode emitir seus próprios certificados confidenciais privados para uso interno. Para obter mais informações, leia nosso artigo sobre Privado x Público PKI.
  • Cada certificado X.509 inclui campos que especificam o sujeito, CA de emissão, e outras informações necessárias, como o certificado versão período de validade. Além disso, os certificados v3 contêm um conjunto de extensões que definem propriedades como usos de chave aceitáveis ​​e identidades adicionais para vincular um par de chaves.
Ir para o início

Campos e extensões de certificado

Para revisar o conteúdo de um certificado X.509 típico em uso, examinaremos o SSL / de www.ssl.comTLS certificado, como mostrado no Google Chrome. (Você pode verificar tudo isso no seu próprio navegador em busca de qualquer site HTTPS clicando no cadeado no lado esquerdo da barra de endereço.)

  • O primeiro grupo de detalhes inclui informações sobre o Assunto, incluindo o nome e o endereço da empresa e o Nome comum (ou nome de domínio totalmente qualificado) do site que o certificado se destina a proteger. (Nota: do Número de série mostrado neste campo de assunto é um número de identificação comercial de Nevada, não o número de série do próprio certificado.)
    Nome do assunto
  • Ao rolar para baixo, encontramos informações sobre o Emissora. Não por coincidência, neste caso, o Organização é "SSL Corp" para o assunto e o emissor, mas o emissor Nome comum é o nome do certificado da CA de emissão e não um URL.
    Emissora
  • Abaixo do Emissor, vemos os certificados Número de série (um número inteiro positivo identificando exclusivamente o certificado), Versão X.509 (3), o Algoritmo de assinatura, e datas especificando o certificado Período de validade.
    número de série, versão, algoritmo, validade
  • Em seguida, chegamos ao chave públicaAssinaturae informações associadas.
    Chave pública e assinatura
  • Além dos campos acima, os certificados X.509 v3 incluem um grupo de Extensões que oferecem flexibilidade adicional no uso de certificados. Por exemplo, o Nome alternativo para a entidade A extensão permite que o certificado seja vinculado a várias identidades. (Por esse motivo, os certificados de domínio múltiplo às vezes são chamados de Certificados SAN) No exemplo abaixo, podemos ver que o certificado realmente cobre onze subdomínios diferentes de SSL.com:
    Nome alternativo para a entidade
  • Impressões digitais mostradas abaixo, as informações do certificado no Chrome não fazem parte do certificado em si, mas são hashes calculados de forma independente que podem ser usados ​​para identificar exclusivamente um certificado.
Ir para o início

Cadeias de certificados

Por motivos administrativos e de segurança, os certificados X.509 são normalmente combinados em correntes para validação. Conforme mostrado na captura de tela do Google Chrome abaixo, o SSL /TLS certificado para www.ssl.com é assinado por um dos certificados intermediários de SSL.com, SSL.com EV SSL Intermediate CA RSA R3. Por sua vez, o certificado intermediário é assinado pela raiz EV RSA de SSL.com:

Cadeia de confiança

Para sites de confiança pública, o servidor da web fornecerá seus próprios entidade final certificado, além de quaisquer intermediários necessários para validação. O certificado de CA raiz com sua chave pública será incluído no sistema operacional do usuário final e / ou aplicativo de navegador, resultando em um completo cadeia de confiança.

Ir para o início

Revogação

Certificados X.509 que devem ser invalidados antes de serem Não é válido depois data pode ser revogou. Como acima mencionado,  RFC 5280 perfis listas de revogação de certificado (CRLs), listas com carimbo de data / hora de certificados revogados que podem ser consultados por navegadores e outro software cliente.

Na Web, as CRLs se mostraram ineficazes na prática e foram substituídas por outras soluções para verificação de revogação, incluindo o protocolo OCSP (publicado em RFC 2560), OCSP Stapling (publicado em RFC 6066, seção 8, como “Solicitação de status de certificado”) e uma variedade de soluções específicas do fornecedor implementadas em vários navegadores da web. Para obter mais informações sobre o espinhoso histórico de verificação de revogação e como os usuários atuais verificam o status de revogação de certificados, leia nossos artigos, Otimização de carregamento de página: grampeamento OCSPComo os navegadores lidam com SSL revogado /TLS Certificados?

Ir para o início

Perguntas Frequentes

O que é um certificado X.509?

X.509 é um formato padrão para certificados de chave pública, documentos digitais que associam com segurança pares de chaves criptográficas a identidades como sites, indivíduos ou organizações. RFC 5280 perfila o certificado X.509 v3, a lista de revogação de certificados X.509 v2 (CRL) e descreve um algoritmo para validação do caminho do certificado X.509.

Para que são usados ​​os certificados X.509?

As aplicações comuns de certificados X.509 incluem SSL /TLS e HTTPS para navegação na web autenticada e criptografada, e-mail assinado e criptografado por meio do S/MIME protocolo, assinatura de código, assinatura de documento, autenticação de cliente e documento de identidade eletrônico emitido pelo governo.

Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou apenas clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento.

Equipe de Suporte SSL.com

Autor - Administrador de Conteúdo
Todas as mensagens

Perguntas frequentes relacionadas

Visualizar todas as perguntas frequentes

Siga-nos

Facebook Twitter Youtube Github

O que é SSL /TLS?

Reproduzir Vídeo

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.

Responder à pesquisa