Открыть сервис

Цифровой сертификат X.509

Цифровой сертификат X.509 — это стандартизированный электронный документ, удостоверяющий принадлежность открытого ключа определённому субъекту (пользователю, устройству, организации) и подтверждающий подлинность этого ключа с помощью электронной подписи удостоверяющего центра. Сертификаты X.509 являются фундаментальным компонентом инфраструктуры открытых ключей (PKI) и широко применяются для обеспечения аутентификации, шифрования и целостности данных в компьютерных сетях, включая Интернет.

История и стандартизация

Стандарт X.509 был впервые опубликован Международным союзом электросвязи (ITU-T) в 1988 году в составе рекомендаций X.500, описывающих службы каталогов. Изначально сертификаты X.509 предназначались для аутентификации пользователей в рамках распределённых каталогов X.500. Впоследствии стандарт был адаптирован для использования в сети Интернет Рабочей группой по проектированию Интернета (IETF) в виде спецификаций PKIX (Public Key Infrastructure — X.509).

Основные версии стандарта:

Структура сертификата

Сертификат X.509 v3 состоит из трёх основных частей: данных сертификата, алгоритма подписи и самой цифровой подписи.

Основные поля данных

Стандартные расширения версии 3

Цепочка доверия и удостоверяющие центры

Доверие к сертификату X.509 основывается на иерархической модели доверия. Сертификат субъекта подписан закрытым ключом удостоверяющего центра. Сертификат самого УЦ, в свою очередь, может быть подписан вышестоящим УЦ. Верхушку иерархии образуют корневые удостоверяющие центры (Root CAs). Их сертификаты являются самоподписанными (то есть подписаны собственным закрытым ключом) и распространяются в составе доверенных корневых хранилищ операционных систем и браузеров.

Процесс проверки сертификата включает построение цепочки сертификатов (certificate chain) от сертификата субъекта до доверенного корневого сертификата. На каждом шаге проверяется цифровая подпись нижестоящего сертификата с использованием открытого ключа вышестоящего УЦ.

Типы удостоверяющих центров

Форматы хранения и передачи

Сертификаты X.509 обычно кодируются в одном из двух форматов:

Для хранения цепочек сертификатов и закрытых ключей используются контейнерные форматы, такие как PKCS#12 (обычно с расширением .p12 или .pfx), которые могут содержать сертификат, цепочку промежуточных УЦ и закрытый ключ, защищённый паролем.

Применение

Защита веб-соединений (TLS/SSL)

Наиболее массовое применение сертификатов X.509 — аутентификация веб-сайтов в протоколе HTTPS. Сертификат веб-сервера, содержащий доменное имя в поле SAN, предъявляется браузеру при установке TLS-соединения. Браузер проверяет цепочку доверия, срок действия и статус отзыва сертификата. Если сертификат действителен, браузер отображает значок замка в адресной строке.

Электронная подпись

В России и других странах сертификаты X.509 используются для создания квалифицированной электронной подписи (КЭП) в соответствии с законодательством (например, Федеральный закон № 63-ФЗ «Об электронной подписи»). Сертификат ключа проверки электронной подписи (СКПЭП) выдаётся аккредитованным удостоверяющим центром и содержит данные о владельце, включая СНИЛС или ИНН.

Аутентификация в сетях

Подпись кода

Разработчики программного обеспечения подписывают свои приложения и драйверы сертификатами кода (Code Signing). Операционные системы проверяют подпись перед установкой, что позволяет удостовериться в целостности и подлинности издателя.

Отзыв сертификатов

Сертификат может быть отозван до истечения срока действия по различным причинам (компрометация закрытого ключа, смена реквизитов организации, прекращение деятельности). Для проверки статуса отзыва используются два основных механизма:

Критика и ограничения

Источники

  1. ITU-T Recommendation X.509 (10/2019) — Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks.
  2. RFC 5280 — Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
  3. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  4. Методические рекомендации по использованию сертификатов X.509 в инфраструктуре открытых ключей (Минцифры России).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →