Х.509
В криптографии X.509 — это стандарт Международного союза электросвязи (МСЭ) , определяющий формат сертификатов открытого ключа . [1] Сертификаты X.509 используются во многих интернет-протоколах, включая TLS/SSL , который является основой для HTTPS , [2] безопасный протокол для просмотра веб -страниц . Они также используются в автономных приложениях, таких как электронные подписи .
Сертификат X.509 связывает личность с открытым ключом с помощью цифровой подписи. Сертификат содержит идентификатор (имя хоста, организацию или физическое лицо) и открытый ключ ( RSA , DSA , ECDSA , ed25519 и т. д .) и либо подписан центром сертификации, либо является самоподписанным. Когда сертификат подписан доверенным центром сертификации или подтвержден другими способами, кто-то, у кого есть этот сертификат, может использовать содержащийся в нем открытый ключ для установления защищенной связи с другой стороной или проверки документов , подписанных в цифровой форме с помощью соответствующего закрытого ключа .
X.509 также определяет списки отзыва сертификатов , которые являются средством для распространения информации о сертификатах, которые были сочтены недействительными подписывающим органом, а также алгоритм проверки пути сертификации , который позволяет подписывать сертификаты промежуточными сертификатами CA, которые в свою очередь, подписываются другими сертификатами, достигая якоря доверия .
X.509 определяется «Сектором стандартизации» Международного союза электросвязи ( ITU-T ) в 17-й Исследовательской комиссии ITU-T и основан на ASN.1 , другом стандарте ITU-T.
X.509 был первоначально выпущен 3 июля 1988 г. и был начат в связи со стандартом X.500 . Первыми ее задачами было обеспечение пользователям безопасного доступа к информационным ресурсам и предотвращение криптографической атаки «человек посередине» . Он предполагает строгую иерархическую систему центров сертификации (ЦС) для выдачи сертификатов. Это контрастирует с моделями сети доверия , такими как PGP , где любой (а не только специальные центры сертификации) может подписать и, таким образом, подтвердить действительность чужих сертификатов ключей.
Версия 3 X.509 обеспечивает гибкость для поддержки других топологий, таких как мосты и ячеистые сети . [2] Его можно использовать в одноранговой сети доверия, похожей на OpenPGP , [ нужна ссылка ] , но с 2004 года он редко использовался таким образом [Обновить]. Система X.500 была реализована только суверенными государствами [ которые? ] для целей выполнения договора об обмене идентификационной информацией штатов, а рабочая группа IETF по инфраструктуре открытых ключей (X.509) (PKIX) адаптировала стандарт к более гибкой организации Интернета. На самом деле термин сертификат X.509обычно относится к сертификату IETF PKIX и профилю CRL стандарта сертификатов X.509 v3, как указано в RFC 5280 , обычно называемом PKIX для инфраструктуры открытых ключей (X.509) . [3]
