X.509
תעודה דיגיטלית נפוצה ביותר בשימוש תשתית מפתח ציבורי / ויקיפדיה האנציקלופדיה encyclopedia
באבטחת מידע וקריפטוגרפיה, תעודת X.509 באנגלית X.509 Certificate, היא תעודה דיגיטלית נפוצה ביותר בשימוש תשתית מפתח ציבורי Public key infrastructure בקיצור PKI ותשתית Privilege Management Infrastructure בקיצור PMI, כדי לוודא שייכות מפתח ציבורי לישות מסוימת; מחשב, שירות או משתמש המוצהרים בה. X.509 נמצא בשימוש נרחב באבטחת רשת האינטרנט כמו בפרוטוקול TLS, IPSec, SSH ועוד.
תעודת X.509 מכילה פרטים אודות זהות נושא התעודה המחזיק במפתח הציבורי שהוא מצהיר כבעליו, זהות הרשות המאשרת שהנפיקה את התעודה וחתימתה. את תעודת המפתח הציבורי המשתמש שולח באופן גלוי לצד השני כחלק מפרוטוקול התקשורת. X.509 מפרט בין היתר שיטות לתיעוד, שיוך, אישור, פסילה ואימות מפתחות הצפנה אסימטריים. בכללות המידע המופיע בתעודה כולל:
|
דוגמה לתעודת X.509 בפורמט XML:
<Certificate>
<tbsCertificate>
<serialNumber>3581</serialNumber>
<signature>
<algorithm>1.2.840.113549.1.1.5</algorithm>
<parameters>0500</parameters>
</signature>
<issuer>
<rdnSequence>
.
.
.
<RelativeDistinguishedName>
<AttributeTypeAndValue>
<type>2.5.4.3</type>
<value>130F4672616E6B34444420576562204341</value>
</AttributeTypeAndValue>
</RelativeDistinguishedName>
</rdnSequence>
</issuer>
<validity>
<notBefore>
<utcTime>120822052800Z</utcTime>
</notBefore>
<notAfter>
<utcTime>170821052800Z</utcTime>
</notAfter>
</validity>
<subject>
<rdnSequence>
.
.
.
<RelativeDistinguishedName>
<AttributeTypeAndValue>
<type>2.5.4.3</type>
<value>0C0F7777772E6578616D706C652E636F6D</value>
</AttributeTypeAndValue>
</RelativeDistinguishedName>
</rdnSequence>
</subject>
<subjectPublicKeyInfo>
<algorithm>
<algorithm>1.2.840.113549.1.1.1</algorithm>
<parameters>0500</parameters>
</algorithm>
<subjectPublicKey>
3082020A0282020100B0BD621338B7B24DB4B543F51A72A7882C82B5E941CBBD<!--...-->
</subjectPublicKey>
</subjectPublicKeyInfo>
</tbsCertificate>
<signatureAlgorithm>
<algorithm>1.2.840.113549.1.1.5</algorithm>
<parameters>0500</parameters>
</signatureAlgorithm>
<signature>
8022814DCCCBC918627883B8A11748999B541F8AD6EA47C560C0F11E8A319197<!--...-->
</signature>
</Certificate>
המערכת אמורה לדחות כל תעודה אשר מסיבה כלשהי שדה קריטי או שדה הרחבה קריטי בה לוקה בחסר, אינו בפורמט הנכון או שאינו מוכר על ידי המקבל. שני המזהים הייחודיים האופציונליים נוספו לתמיכה בהחלפת מנפיקה במקרה שהמנפיקה נסגרת ואחרת נכנסת במקומה.
דפדפני האינטרנט כמו כרום, אינטרנט אקספלורר, פיירפוקס, ספארי, אופרה ועוד מגיעים עם תעודות שורש מובנות, כך שתעודת TLS תתקבל ללא שיהוי. למעשה, מפתחי הדפדפנים קובעים מראש אילו רשויות מאשרות יוכרו. מספר דפדפנים תומכים גם ב-Online Certificate Status Protocol, שירות המאפשר לבדוק און-ליין אם תעודה מסוימת נכללת ברשימת התעודות הפסולות (Certificate Revocation List).