¿Qué incluye un certificado digital estándar x.509?

Esta información tiene muchos usos. Por ejemplo, si se revoca un certificado, su número de serie se coloca en la Lista de revocación de certificados (CRL). El identificador del algoritmo de firma identifica el algoritmo utilizado por la CA para firmar el certificado. Nombre del emisor El nombre X.500 de la entidad que firmó el certificado. Suele ser una CA. Usar este certificado significa confiar en la entidad que firmó el certificado (nota: en algunos casos (como los certificados de CA raíz o de nivel superior) el emisor firma su propio certificado). Período de validezCada certificado solo es válido por un período de tiempo limitado. El período de validez se expresa como una fecha y hora de inicio y una fecha y hora de finalización, y puede ser tan breve como unos pocos segundos o tan largo como un siglo. El período de validez elegido depende de muchos factores, como la frecuencia con la que se utiliza la clave privada utilizada para firmar el certificado y cuánto dinero está dispuesto a pagar por el certificado. Es el tiempo estimado que una entidad puede confiar en un valor de clave pública sin comprometer la clave privada asociada. Un certificado de nombre de sujeto identifica el nombre de la entidad cuya clave pública se puede identificar. Este nombre utiliza el estándar X.500 y, por lo tanto, debe ser único en Internet. Es el nombre distinguido (DN) de la entidad, por ejemplo, CN=Java Duke, OU=Java Software Division, O=Sun Microsystems Inc, C=US (estos se refieren al nombre común de la entidad, unidad organizativa, organización y país). Información de clave pública del sujeto Esta es la clave pública de la entidad nombrada e incluye el identificador del algoritmo y todos los parámetros de clave relacionados que especifican el criptosistema de clave pública al que pertenece la clave. La versión 1 de X.509 está disponible desde 1988, se utiliza ampliamente y es la versión más utilizada. La versión 2 de X.509 introdujo el concepto de identificadores únicos de sujeto y emisor para abordar la cuestión de la posible reutilización de los nombres de sujeto y/o emisor con el tiempo. La mayoría de los documentos de seguimiento de certificados desaconsejan enfáticamente la reutilización de nombres de sujeto o emisor y recomiendan que los certificados no utilicen identificadores únicos. Los certificados de la versión 2 aún no se utilizan ampliamente. X.509 versión 3 es la última versión (1996). Admite el concepto de extensiones, por lo que cualquiera puede definir extensiones e incluirlas en un certificado. Las extensiones comúnmente utilizadas hoy en día incluyen: KeyUsage (restringe el uso de la clave para propósitos especiales, como "sólo firmar") y AlternativeNames (permite asociar otras identidades con la clave pública, como nombres DNS, direcciones de correo electrónico, direcciones IP). . Las extensiones se pueden marcar como "de importancia crítica" para indicar que la extensión debe verificarse, aplicarse o usarse. Por ejemplo, si un certificado tiene la extensión KeyUsage marcada como "críticamente importante" y configurada en "keyCertSign", el certificado se rechazará cuando esté presente durante la comunicación SSL porque la extensión del certificado indica que la clave privada asociada solo debe usarse para firmar el certificado. y no debe usarse para SSL. Todos los datos del certificado están codificados utilizando dos estándares relacionados llamados ASN.1/DER. La notación de sintaxis abstracta 1 describe los datos. Las reglas de codificación deterministas (DER) describen la única forma de almacenar y transmitir datos. Algunas personas llaman a esta combinación "poderosa y flexible", otras la llaman "vaga y torpe".