Chứng chỉ X.509 là gì?

X, 509 là một định dạng chuẩn cho chứng chỉ khóa công khai, các tài liệu kỹ thuật số liên kết an toàn các cặp khóa mật mã với các danh tính như trang web, cá nhân hoặc tổ chức.

Được giới thiệu lần đầu tiên vào năm 1988 cùng với tiêu chuẩn X.500 cho các dịch vụ thư mục điện tử, X.509 đã được điều chỉnh để sử dụng internet bởi Cơ sở hạ tầng khóa công khai của IETF (X.509) (PKIX) nhóm làm việc. RFC 5280 cấu hình chứng chỉ X.509 v3, danh sách thu hồi chứng chỉ X.509 v2 (CRL) và mô tả thuật toán để xác thực đường dẫn chứng chỉ X.509.

Các ứng dụng phổ biến của chứng chỉ X.509 bao gồm:

• SSL /TLS và HTTPS để duyệt web xác thực và mã hóa
• Email đã ký và được mã hóa thông qua S/MIME giao thức
• Ký mã
• Ký văn bản
• Xác thực ứng dụng khách
• ID điện tử do chính phủ cấp

Cặp khóa và chữ ký

Bất kể (các) ứng dụng dự định của nó, mỗi chứng chỉ X.509 bao gồm một khóa công khai, chữ ký sốvà thông tin về cả danh tính liên quan đến chứng chỉ và việc cấp nó cơ quan cấp chứng chỉ (CA):

• Sản phẩm khóa công khai là một phần của cặp chìa khóa bao gồm một khóa cá nhân. Khóa riêng được giữ an toàn và khóa chung được bao gồm trong chứng chỉ. Cặp khóa công khai / riêng tư này:
  • Cho phép chủ sở hữu khóa riêng để ký điện tử các tài liệu; những chữ ký này có thể được xác nhận bởi bất kỳ ai có khóa công khai tương ứng.
  • Cho phép các bên thứ ba gửi tin nhắn được mã hóa bằng khóa chung mà chỉ chủ sở hữu của khóa riêng mới có thể giải mã.
• A chữ ký số là một hàm băm được mã hóa (thông báo có độ dài cố định) của tài liệu đã được mã hóa bằng khóa cá nhân. Khi chứng chỉ X.509 được ký bởi CA đáng tin cậy công khai, chẳng hạn như SSL.com, chứng chỉ có thể được bên thứ ba sử dụng để xác minh danh tính của pháp nhân trình bày nó.
  
  Lưu ý: Không phải tất cả các ứng dụng của chứng chỉ X.509 đều yêu cầu sự tin cậy của công chúng. Ví dụ: một công ty có thể phát hành chứng chỉ tin cậy riêng của mình để sử dụng nội bộ. Để biết thêm thông tin, vui lòng đọc bài viết của chúng tôi trên Riêng tư so với công cộng PKI.
• Mỗi chứng chỉ X.509 bao gồm các trường chỉ định Tiêu đề, phát hành CAvà các thông tin bắt buộc khác, chẳng hạn như chứng chỉ của phiên bản và thời hạn hiệu lực. Ngoài ra, chứng chỉ v3 chứa một bộ mở rộng xác định các thuộc tính như cách sử dụng khóa được chấp nhận và các đặc điểm nhận dạng bổ sung để liên kết một cặp khóa.

Trường chứng chỉ và phần mở rộng

Để xem lại nội dung của chứng chỉ X.509 điển hình trong tự nhiên, chúng tôi sẽ kiểm tra SSL / của www.ssl.comTLS chứng chỉ, như được hiển thị trong Google Chrome. (Bạn có thể kiểm tra tất cả những điều này trong trình duyệt của riêng bạn cho bất kỳ trang web HTTPS nào bằng cách nhấp vào khóa ở phía bên trái của thanh địa chỉ.)

• Nhóm chi tiết đầu tiên bao gồm thông tin về Tiêu Đề, bao gồm tên và địa chỉ của công ty và Tên gọi chung (hoặc Tên miền đủ điều kiện) của trang web mà chứng chỉ được dự định bảo vệ. (Lưu ý: các serial Number hiển thị trong trường chủ đề này là số nhận dạng doanh nghiệp Nevada, không phải số sê-ri của chính chứng chỉ.)
  
• Cuộn xuống, chúng tôi bắt gặp thông tin về Tổ chức phát hành. Không phải ngẫu nhiên, trong trường hợp này, Cơ quan là “SSL Corp” cho cả chủ thể và nhà phát hành, nhưng nhà phát hành Tên gọi chung là tên của chứng chỉ CA đang phát hành chứ không phải là URL.
  
• Bên dưới Nhà phát hành, chúng tôi thấy chứng chỉ của serial Number (một số nguyên dương xác định duy nhất chứng chỉ), Phiên bản X.509 (3), Thuật toán chữ kývà ngày chỉ định chứng chỉ Thời gian hiệu lực.
  
• Tiếp theo, chúng tôi đến chính công, Chữ kývà thông tin liên quan.
  
• Ngoài các trường trên, chứng chỉ X.509 v3 bao gồm một nhóm Phần mở rộng cung cấp thêm tính linh hoạt trong việc sử dụng chứng chỉ. Ví dụ: Tiêu đề Thay thế Tên phần mở rộng cho phép chứng chỉ được liên kết với nhiều danh tính. (Vì lý do này, chứng chỉ đa miền đôi khi được gọi là Chứng chỉ SAN). Trong ví dụ dưới đây, chúng ta có thể thấy rằng chứng chỉ thực sự bao gồm XNUMX tên miền phụ SSL.com khác nhau:
  
• Sản phẩm Dấu vân tay hiển thị bên dưới, thông tin chứng chỉ trong Chrome không phải là một phần của chính chứng chỉ mà là các hàm băm được tính toán độc lập có thể được sử dụng để xác định duy nhất một chứng chỉ.
  

Chuỗi chứng chỉ

Vì cả lý do liên quan đến quản trị và bảo mật, chứng chỉ X.509 thường được kết hợp thành chuỗi để xác nhận. Như được hiển thị trong ảnh chụp màn hình từ Google Chrome bên dưới, SSL /TLS chứng chỉ cho www.ssl.com được ký bởi một trong các chứng chỉ trung gian của SSL.com, SSL.com EV SSL Intermediate CA RSA R3. Đổi lại, chứng chỉ trung gian được ký bởi gốc EV RSA của SSL.com:

Đối với các trang web đáng tin cậy công khai, máy chủ web sẽ cung cấp riêng thực thể cuối chứng chỉ, cộng với bất kỳ sản phẩm trung gian nào cần thiết để xác nhận. Chứng chỉ CA gốc với khóa công khai của nó sẽ được bao gồm trong hệ điều hành và / hoặc ứng dụng trình duyệt của người dùng cuối, dẫn đến hoàn chỉnh chuỗi tín thác.

Thu hồi

Chứng chỉ X.509 phải bị vô hiệu trước chúng Không hợp lệ sau ngày có thể là thu hồi. Như đã đề cập ở trên,  RFC 5280 hồ sơ danh sách thu hồi chứng chỉ (CRLs), danh sách có dấu thời gian của các chứng chỉ bị thu hồi có thể được truy vấn bởi trình duyệt và phần mềm ứng dụng khách khác.

Trên Web, các CRL đã được chứng minh là không hiệu quả trong thực tế và đã được thay thế bằng các giải pháp khác để kiểm tra thu hồi, bao gồm giao thức OCSP (được xuất bản trong RFC 2560), OCSP Stapling (xuất bản trong RFC 6066, phần 8, như “Yêu cầu Trạng thái Chứng chỉ”) và một loạt các giải pháp dành riêng cho nhà cung cấp được triển khai trong các trình duyệt web khác nhau. Để biết thêm thông tin về lịch sử khó khăn của việc kiểm tra thu hồi và cách những người cung cấp hiện tại kiểm tra trạng thái thu hồi chứng chỉ, vui lòng đọc các bài viết của chúng tôi, Tối ưu hóa tải trang: Đóng ghim OCSPvà Trình duyệt xử lý SSL bị thu hồi như thế nào /TLS Giấy chứng nhận?

Những câu hỏi thường gặp