X.509
En criptografía , X.509 es un estándar de la Unión Internacional de Telecomunicaciones (UIT) que define el formato de los certificados de clave pública . [1] Los certificados X.509 se utilizan en muchos protocolos de Internet, incluido TLS / SSL , que es la base de HTTPS , [2] el protocolo seguro para navegar por la web . También se utilizan en aplicaciones fuera de línea, como firmas electrónicas .
Un certificado X.509 vincula una identidad a una clave pública mediante una firma digital. Un certificado contiene una identidad (un nombre de host, una organización o un individuo) y una clave pública (RSA, DSA, ECDSA, ed25519, etc.) y está firmado por una autoridad certificadora o está autofirmado . Cuando un certificado está firmado por una autoridad certificadora confiable, o validado por otros medios, alguien que posea ese certificado puede usar la clave pública que contiene para establecer comunicaciones seguras con otra parte, o validar documentos firmados digitalmente por la clave privada correspondiente .
X.509 también define listas de revocación de certificados , que son un medio para distribuir información sobre certificados que una autoridad firmante ha considerado inválidos, así como un algoritmo de validación de ruta de certificación , que permite que los certificados sean firmados por certificados de CA intermedios, que están, a su vez, firmados por otros certificados, y eventualmente alcanzan un ancla de confianza .
X.509 está definido por el "Sector de Normalización" de la Unión Internacional de Telecomunicaciones ( UIT-T ), en la Comisión de Estudio 17 del UIT-T y se basa en ASN.1 , otro estándar de UIT-T.
X.509 se emitió inicialmente el 3 de julio de 1988 y se inició en asociación con el estándar X.500 . Las primeras tareas fueron proporcionar a los usuarios acceso seguro a los recursos de información y evitar un ataque de intermediario criptográfico . Asume un estricto sistema jerárquico de autoridades de certificación (CA) para emitir los certificados. Esto contrasta con los modelos de redes de confianza , como PGP , donde cualquier persona (no solo CA especiales) puede firmar y, por lo tanto, dar fe de la validez de los certificados de claves de otros.
La versión 3 de X.509 incluye la flexibilidad de admitir otras topologías como puentes y mallas . [2] Se puede usar en una red de confianza peer-to-peer, similar a OpenPGP , [ cita requerida ] pero rara vez se usaba de esa manera a partir de 2004 [actualizar]. El sistema X.500 solo ha sido implementado por naciones soberanas [ ¿cuál? ] para fines de cumplimiento del tratado de intercambio de información de identidad estatal, y el grupo de trabajo de Infraestructura de clave pública (X.509) (PKIX) del IETF ha adaptado el estándar a la organización más flexible de Internet. De hecho, el término certificado X.509generalmente se refiere al certificado PKIX de IETF y al perfil CRL del estándar de certificado X.509 v3, como se especifica en RFC 5280 , comúnmente llamado PKIX para infraestructura de clave pública (X.509) . [3]
