X.509

У криптографії, X.509 — це стандарт ITU-T для інфраструктури відкритого (публічного) ключа (англ. public key infrastructure (PKI)) та інфраструктури управління привілеями (англ. Privilege Management Infrastructure (PMI)).

X.509 визначає стандартні формати для сертифікатів відкритого ключа (англ. public key certificates), списку відкликаних сертифікатів (англ. certificate revocation lists), атрибутів сертифікатів (англ. attribute certificates) та алгоритм валідації шляху сертифікації (англ. certification path validation algorithm).

Історія [ред.]

X.509 був виданий 3 липня 1988 року і був зв'язаний зі стандартом X.500.

Особливості [ред.]

Для випуску сертифікатів існує чітко визначена ієрархічна система відповідальних органів (англ. certificate authorities — CAs). У цьому його відмінність від моделей основаних на принципі мережі довіри (англ. web of trust), подібним до PGP, де будь-хто (не тільки спеціальні органи — CAs) можуть випускати, підписувати і перевіряти відповідність. Версія 3 X.509 має гнучкість для підтримки таких топологій як мости (bridges) та сітки (meshes). Може бути використаний у p2p мережах, але таким чином використовується рідко.

Структура сертифікату [ред.]

• Сертифікат (Certificate)
  • Версія (Version)
  • Серійний номер (Serial Number)
  • ідентифікатор алгоритму (Algorithm ID)
  • Видавець (Issuer)
  • Період дії (Validity) включає у себе:
    • не перед (Not Before)
    • не після (Not After)
  • предмет сертифікату (Subject)
  • інформація про предмет публічного ключа (Subject Public Key Info):
    • алгоритм (Public Key Algorithm)
    • предмет (Subject Public Key)
  • унікальний ідентифікатор видавця (Issuer Unique Identifier ) — необов'язково
  • унікальний ідентифікатор предмету публічного ключа (Subject Unique Identifier) — необов'язково
  • розширення (Extensions )- необов'язково
    • …можливі додаткові деталі
• алгоритм підпису сертифікату(Certificate Signature Algorithm)
• підпис сертифікату(Certificate Signature)

Загальновживані розширення файлів сертифікатів [ред.]

• .CER — CER закодований сертифікат, або набір сертифікатів
• .DER — DER закодований сертифікат
• .PEM — (Privacy Enhanced Mail) Base64 закодований DER сертифікат, поміщений між «-----BEGIN CERTIFICATE-----» and «-----END CERTIFICATE-----»
• .P7B — Див. .p7c
• .P7C — PKCS#7 Підписана структура без даних, просто сертифікат(-и) чи список сертифікатів які вже не дійсні
• .PFX — Див. .p12
• .P12 — PKCS#12 можуть містити публічні та приватні ключі захищені паролем.

Посилання [ред.]

• ITU-X Recommendation X.509 : Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks
• Peter Gutmann's X.509 Style Guide
• PKIX website
• CAcert.org — Free digital certificates
• Enterprise Trust Integration and Web Services Security standards and demos
• FAQ from RSA Labs
• Verisign Inc.
• Surety Inc.
• Sun Inc. — Secure code guidelines