X.509 это стандартный формат для сертификаты открытых ключейцифровые документы, которые надежно связывают пары криптографических ключей с идентификационными данными, такими как веб-сайты, отдельные лица или организации.
Впервые представленный в 1988 году вместе со стандартами X.500 для служб электронных каталогов, X.509 был адаптирован для использования в Интернете инфраструктурой открытых ключей IETF (X.509) (PKIX) рабочая группа. RFC 5280 профилирует сертификат X.509 v3, список отзыва сертификатов X.509 v2 (CRL) и описывает алгоритм проверки пути сертификата X.509.
Общие применения сертификатов X.509 включают в себя:
- SSL /TLS и HTTPS для аутентифицированного и зашифрованного просмотра веб-страниц
- Подписанный и зашифрованный адрес электронной почты через S/MIME протокол
- Подписание кода
- Подписание документов
- Аутентификация клиента
- Государственный электронный идентификатор
Ключевые пары и подписи
Независимо от предполагаемого (ых) приложения (ей), каждый сертификат X.509 включает Открытый ключ, цифровой подписии информация как о личности, связанной с сертификатом, так и о его выдаче центр сертификации (CA):
- Ассоциация Открытый ключ является частью пара ключей это также включает в себя закрытый ключ, Закрытый ключ хранится в безопасности, а открытый ключ включается в сертификат. Эта пара открытых / закрытых ключей:
- Позволяет владельцу закрытого ключа подписывать документы цифровой подписью; эти подписи могут быть проверены кем-либо с соответствующим открытым ключом.
- Позволяет третьим сторонам отправлять сообщения, зашифрованные с помощью открытого ключа, которые может расшифровать только владелец личного ключа.
- A цифровой подписи представляет собой закодированный хэш (дайджест фиксированной длины) документа, зашифрованного с помощью закрытого ключа. Когда сертификат X.509 подписан публично доверенный CA, например SSL.com, сертификат может быть использован третьей стороной для проверки личности представляющего его объекта.Примечание: Не все приложения сертификатов X.509 требуют общественного доверия. Например, компания может выпускать собственные доверенные сертификаты для внутреннего использования. Для получения дополнительной информации прочитайте нашу статью о Частное против общественного PKI.
- Каждый сертификат X.509 включает в себя поля, указывающие предмет, выдающий CA, и другая необходимая информация, такая как сертификат версия и срок годности, Кроме того, сертификаты v3 содержат набор расширения которые определяют такие свойства, как допустимое использование ключей и дополнительные идентификаторы для привязки пары ключей.
Поля сертификата и расширения
Чтобы проверить содержимое типичного сертификата X.509 в реальных условиях, мы рассмотрим SSL / сертификат www.ssl.com.TLS сертификат, как показано в Google Chrome. (Вы можете проверить все это в своем собственном браузере для любого веб-сайта HTTPS, нажав на замок в левой части адресной строки.)
- Первая группа деталей включает в себя информацию о Тема , включая название и адрес компании и Распространенное имя (или Полное доменное имя) веб-сайта, который сертификат предназначен для защиты. (Примечание: домен Серийный номер в этом поле темы указан идентификационный номер компании в Неваде, а не серийный номер самого сертификата.)
- Прокручивая вниз, мы сталкиваемся с информацией о эмитент, Не случайно в этом случае организация "SSL Corp" как для субъекта, так и для эмитента, но эмитент Распространенное имя это имя выдающего сертификата CA, а не URL.
- Под эмитентом мы видим сертификат Серийный номер (положительное целое число, однозначно идентифицирующее сертификат), Версия X.509 (3), Алгоритм подписи, и даты, указывающие Срок действия.
- Далее мы приходим к публичный ключ, Подписьи связанная информация.
- В дополнение к полям, указанным выше, сертификаты X.509 v3 включают группу Расширения которые предлагают дополнительную гибкость в использовании сертификатов. Например, Subject Alternative Name расширение позволяет сертификату быть привязанным к нескольким удостоверениям. (По этой причине многодоменные сертификаты иногда называют Сертификаты SAN). В приведенном ниже примере мы видим, что сертификат фактически охватывает одиннадцать различных поддоменов SSL.com:
- Ассоциация Отпечатки Показанная ниже информация о сертификате в Chrome не является частью самого сертификата, а представляет собой независимо вычисляемые хэши, которые можно использовать для однозначной идентификации сертификата.
Цепочки сертификатов
Как по административным причинам, так и по соображениям безопасности сертификаты X.509 обычно объединяются в цепи для проверки. Как показано на скриншоте из Google Chrome ниже, SSL /TLS сертификат для www.ssl.com подписан одним из промежуточных сертификатов SSL.com, SSL.com EV SSL Intermediate CA RSA R3. В свою очередь, промежуточный сертификат подписывается корнем SSL.com EV RSA:
Для публично доверенных веб-сайтов, веб-сервер будет предоставлять свой собственный конечный объект сертификат, а также любые промежуточные звенья, необходимые для проверки. Сертификат корневого ЦС с его открытым ключом будет включен в операционную систему конечного пользователя и / или приложение браузера, что приведет к полному цепь доверия.
ревокация
Сертификаты X.509, которые должны быть признаны недействительными до их Не действует после дата может быть отозвана, Как уже упоминалось выше, RFC 5280 профили списков отозванных сертификатов (CRL), списки отозванных сертификатов с отметками времени, которые могут быть запрошены браузерами и другим клиентским программным обеспечением.
В Интернете списки отзыва сертификатов на практике оказались неэффективными и были заменены другими решениями для проверки отзыва, включая протокол OCSP (опубликован в RFC 2560), OCSP Stapling (опубликовано в RFC 6066, раздел 8, как «Запрос статуса сертификата»), а также набор решений для конкретных поставщиков, реализованных в различных веб-браузерах. Для получения дополнительной информации о сложной истории проверки отзыва и о том, как нынешние баузеры проверяют статус отзыва сертификатов, прочтите наши статьи, Оптимизация загрузки страницы: сшивание OCSPи Как браузеры обрабатывают отозванный SSL /TLS Сертификаты?
Часто задаваемые вопросы
X.509 это стандартный формат для сертификаты открытых ключейцифровые документы, которые надежно связывают пары криптографических ключей с идентификационными данными, такими как веб-сайты, отдельные лица или организации. RFC 5280 профилирует сертификат X.509 v3, список отзыва сертификатов X.509 v2 (CRL) и описывает алгоритм проверки пути сертификата X.509.
Общие применения сертификатов X.509 включают: SSL /TLS и HTTPS для аутентифицированного и зашифрованного просмотра веб-страниц, подписанной и зашифрованной электронной почты через S/MIME протокол, подпись кода, подписание документа, аутентификация клиентаи электронное удостоверение личности государственного образца.