X.509 Sertifikası Nedir?

X.509 için standart bir biçimdir açık anahtar sertifikaları, kriptografik anahtar çiftlerini web siteleri, bireyler veya kuruluşlar gibi kimliklerle güvenli bir şekilde ilişkilendiren dijital belgeler.

İlk olarak 1988'de elektronik rehber hizmetleri için X.500 standartlarının yanında tanıtılan X.509, IETF'in Açık Anahtar Altyapısı (X.509) tarafından internet kullanımı için uyarlanmıştır (PKIX) çalışma grubu. RFC 5280 X.509 v3 sertifikasını, X.509 v2 sertifikası iptal listesini (CRL) belirtir ve X.509 sertifika yolu doğrulaması için bir algoritma açıklar.

X.509 sertifikalarının yaygın uygulamaları şunları içerir:

• SSL /TLS ve HTTPS kimliği doğrulanmış ve şifrelenmiş web taraması için
• Üzerinden imzalı ve şifreli e-posta S/MIME protokol
• Kod imzalama
• Belge imzalama
• İstemci kimlik doğrulaması
• Devlet tarafından verilmiş elektronik kimlik

Anahtar Çiftleri ve İmzalar

Amaçlanan uygulama (lar) ne olursa olsun, her X.509 sertifikası bir Genel anahtar, elektronik imzave hem sertifikayla ilişkili kimlik hem de sertifikayı veren ile ilgili bilgiler sertifika yetkilisi (CA):

• The Genel anahtar bir parçası anahtar çifti ayrıca bir Özel anahtar. Özel anahtar güvenli tutulur ve ortak anahtar sertifikaya eklenir. Bu genel / özel anahtar çifti:
  • Özel anahtarın sahibine belgeleri dijital olarak imzalama izni verir; bu imzalar, ilgili ortak anahtara sahip herkes tarafından doğrulanabilir.
  • Üçüncü tarafların, yalnızca özel anahtarın sahibinin şifresini çözebileceği genel anahtarla şifrelenmiş mesajlar göndermesine izin verir.
• A elektronik imza özel bir anahtarla şifrelenmiş bir belgenin kodlanmış bir karmasıdır (sabit uzunlukta özet). Bir X.509 sertifikası, bir herkese açık güvenilir CA, SSL.com gibi, sertifika, onu sunan kuruluşun kimliğini doğrulamak için üçüncü bir taraf tarafından kullanılabilir.
  
  Not: X.509 sertifikalarının tüm uygulamaları genel güven gerektirmez. Örneğin, bir şirket dahili kullanım için kendi özel olarak güvenilen sertifikalarını verebilir. Daha fazla bilgi için lütfen hakkındaki makalemizi okuyun. Özel ve Herkese Açık PKI.
• Her X.509 sertifikası, aşağıdakileri belirten alanları içerir: konu, CA verenve sertifika gibi diğer gerekli bilgiler versiyon ve geçerlilik süresi. Ayrıca, v3 sertifikaları bir dizi içerir uzantıları kabul edilebilir anahtar kullanımları ve bir anahtar çiftinin bağlanacağı ek kimlikler gibi özellikleri tanımlayan.

Sertifika Alanları ve Uzantıları

Tipik bir X.509 sertifikasının içeriğini vahşi ortamda incelemek için www.ssl.com'un SSL /TLS Google Chrome'da gösterildiği gibi bir sertifika. (Tüm bunları, adres çubuğunun sol tarafındaki kilidi tıklayarak herhangi bir HTTPS web sitesi için kendi tarayıcınızda kontrol edebilirsiniz.)

• İlk ayrıntı grubu, Konu, şirketin adı ve adresi ile Yaygın isim (veya Tam Nitelikli Alan Adı) sertifikasının korumak istediği web sitesinin. (Not: the Seri numarası bu konu alanında gösterilen sertifikanın seri numarası değil, Nevada iş kimlik numarasıdır.)
  
• Aşağıya doğru ilerlerken, İhraççı. Tesadüfen değil, bu durumda, organizasyon hem konu hem de veren için "SSL Corp" dur, ancak veren kuruluşun Yaygın isim URL yerine veren CA sertifikasının adıdır.
  
• İhraççının altında, sertifikanın Seri numarası (sertifikayı benzersiz şekilde tanımlayan pozitif bir tam sayı), X.509 Sürümü (3), İmza Algoritmasıve sertifikayı belirten tarihler Geçerlilik Süresi.
  
• Sonra, kamu Anahtarı, imzave ilişkili bilgiler.
  
• Yukarıdaki alanlara ek olarak, X.509 v3 sertifikaları bir grup uzantıları sertifika kullanımında ek esneklik sunar. Örneğin, Konusu Diğer Adı uzantısı, sertifikanın birden fazla kimliğe bağlanmasına izin verir. (Bu nedenle, birden çok etki alanına sahip sertifikalara bazen SAN sertifikaları). Aşağıdaki örnekte, sertifikanın aslında on bir farklı SSL.com alt alanını kapsadığını görebiliriz:
  
• The Parmak izleri Chrome'daki sertifika bilgilerinin altında gösterilenler, sertifikanın kendisinin bir parçası değildir, ancak bir sertifikayı benzersiz şekilde tanımlamak için kullanılabilen bağımsız olarak hesaplanan hashlerdir.
  

Sertifika Zincirleri

Hem yönetim hem de güvenlikle ilgili nedenlerden ötürü, X.509 sertifikaları genellikle zincirler doğrulama için. Aşağıdaki Google Chrome ekran görüntüsünde gösterildiği gibi, SSL /TLS www.ssl.com için sertifika SSL.com'un ara sertifikalarından biri tarafından imzalanmıştır, SSL.com EV SSL Intermediate CA RSA R3. Buna karşılık, ara sertifika SSL.com'un EV RSA kökü tarafından imzalanır:

Genel olarak güvenilen web siteleri için, web sunucusu kendi son varlık sertifika, artı doğrulama için gerekli tüm ara maddeler. Genel anahtarıyla birlikte kök CA sertifikası, son kullanıcının işletim sistemine ve / veya tarayıcı uygulamasına dahil edilecek ve sonuçta eksiksiz bir güven zinciri.

İptal

Önceleri geçersiz kılınması gereken X.509 sertifikaları Sonra Geçerli Değil tarih olabilir iptal. Yukarıda da belirtildiği gibi,  RFC 5280 profiller sertifika iptal listeleri (CRL'ler), tarayıcılar ve diğer istemci yazılımları tarafından sorgulanabilen iptal edilmiş sertifikaların zaman damgalı listeleri.

Web'de, CRL'lerin uygulamada etkisiz olduğu kanıtlanmıştır ve OCSP protokolü (yayınlanmış olan) dahil olmak üzere iptal kontrolü için diğer çözümlerin yerini almıştır. RFC 2560), OCSP Zımbalama ( RFC 6066, bölüm 8, "Sertifika Durumu İsteği" olarak) ve çeşitli web tarayıcılarında uygulanan satıcıya özgü çözümler. İptal kontrolünün zorlu geçmişi ve mevcut tarayıcıların sertifikaların iptal durumunu nasıl kontrol ettiği hakkında daha fazla bilgi için lütfen makalelerimizi okuyun, Sayfa Yükü Optimizasyonu: OCSP Zımbalama, ve Tarayıcılar İptal Edilmiş SSL /TLS Sertifikalar?

Sık Sorulan Sorular