X.509

Norma que define el formato de los certificados de clave pública

En criptografía , X.509 es un estándar de la Unión Internacional de Telecomunicaciones (UIT) que define el formato de los certificados de clave pública . ^[1] Los certificados X.509 se utilizan en muchos protocolos de Internet, incluido TLS/SSL , que es la base de HTTPS , ^[2] el protocolo seguro para navegar por la web . También se utilizan en aplicaciones fuera de línea, como firmas electrónicas . ^[3]

Un certificado X.509 vincula una identidad a una clave pública mediante una firma digital. Un certificado contiene una identidad (un nombre de host, una organización o un individuo) y una clave pública ( RSA , DSA , ECDSA , ed25519 , etc.) y está firmado por una autoridad certificadora o autofirmado. Cuando un certificado está firmado por una autoridad certificadora de confianza, o validado por otros medios, alguien que posea ese certificado puede utilizar la clave pública que contiene para establecer comunicaciones seguras con otra parte, o validar documentos firmados digitalmente con la clave privada correspondiente .

X.509 también define listas de revocación de certificados , que son un medio para distribuir información sobre los certificados que una autoridad firmante ha considerado inválidos, así como un algoritmo de validación de ruta de certificación , que permite que los certificados sean firmados por certificados de CA intermedia, que son, a su vez, firmados por otros certificados, alcanzando eventualmente un ancla de confianza .

X.509 está definido por el "Sector de Estandarización" de la UIT ( UIT-T 's SG17 ), en la Comisión de Estudio 17 del UIT-T y se basa en la Notación de Sintaxis Abstracta Uno (ASN.1), otro estándar del UIT-T.

Historia y uso

X.509 se publicó inicialmente el 3 de julio de 1988 y se inició en asociación con el estándar X.500 . Las primeras tareas fueron proporcionar a los usuarios acceso seguro a los recursos de información y evitar un ataque criptográfico de intermediario . Asume un estricto sistema jerárquico de autoridades certificadoras (CA) para emitir los certificados. Esto contrasta con los modelos de red de confianza , como PGP , donde cualquiera (no sólo las CA especiales) puede firmar y así dar fe de la validez de los certificados de clave de otros.

La versión 3 de X.509 incluye la flexibilidad para admitir otras topologías como puentes y mallas . ^[2] Puede usarse en una red de confianza peer-to-peer, similar a OpenPGP , ^{[ cita necesaria ]} pero rara vez se usaba de esa manera a partir de 2004 ^[actualizar]. El sistema X.500 sólo ha sido implementado por naciones soberanas ^{[ ¿cuáles? ]} para fines de cumplimiento del tratado de intercambio de información de identidad estatal, y el grupo de trabajo de Infraestructura de clave pública (X.509) (PKIX) del IETF ha adaptado el estándar a la organización más flexible de Internet. De hecho, el término certificado X.509 generalmente se refiere al certificado PKIX del IETF y al perfil CRL del estándar de certificado X.509 v3, como se especifica en RFC  5280, comúnmente llamado PKIX para infraestructura de clave pública (X.509) . ^[4]

Uno de los primeros problemas con la infraestructura de clave pública (PKI) y los certificados X.509 fue el conocido problema de "qué directorio". El problema es que el cliente no sabe dónde buscar los certificados intermedios que faltan porque el directorio global X.500 nunca se materializó. El problema se mitigó al incluir todos los certificados intermedios en una solicitud. Por ejemplo, los primeros servidores web solo enviaban el certificado del servidor web al cliente. Los clientes que carecían de un certificado de CA intermedio o de dónde encontrarlo no pudieron crear una ruta válida desde la CA hasta el certificado del servidor. Para solucionar el problema, los servidores web ahora envían todos los certificados intermedios junto con el certificado del servidor web. ^[5]

Si bien PKIX se refiere al estándar PKI del IETF o de Internet, existen muchas otras PKI con políticas diferentes. Por ejemplo, el gobierno de EE. UU. tiene su propia PKI con sus propias políticas, y CA/Browser Forum tiene su propia PKI con sus propias políticas. El PKI del gobierno de EE.UU. es un libro enorme de más de 2.500 páginas. Si la PKI de una organización difiere demasiado de la del IETF o CA/Browser Forum, entonces la organización corre el riesgo de perder interoperabilidad con herramientas comunes como navegadores web , cURL y Wget . Por ejemplo, si una PKI tiene la política de emitir certificados únicamente los lunes, las herramientas comunes como cURL y Wget no aplicarán la política y permitirán la emisión de un certificado los martes. ^[5]

Certificados

Los certificados X.509 vinculan una identidad a una clave pública mediante una firma digital. En el sistema X.509 existen dos tipos de certificados. El primero es un certificado de CA. El segundo es un certificado de entidad final. Un certificado de CA puede emitir otros certificados. El certificado de CA autofirmado de nivel superior a veces se denomina certificado de CA raíz. Otros certificados de CA se denominan certificados de CA intermedia o certificados de CA subordinada. Un certificado de entidad final identifica al usuario, como una persona, organización o empresa. Un certificado de entidad final no puede emitir otros certificados. Un certificado de entidad final a veces se denomina certificado hoja, ya que no se pueden emitir otros certificados debajo de él.

Una organización que desea un certificado firmado solicita uno a una CA utilizando un protocolo como Solicitud de firma de certificado (CSR) , Protocolo simple de inscripción de certificados (SCEP) o Protocolo de administración de certificados (CMP) . La organización primero genera un par de claves , mantiene la clave privada en secreto y la utiliza para firmar la CSR. El CSR contiene información que identifica al solicitante y la clave pública del solicitante que se utiliza para verificar la firma del CSR y el nombre distinguido (DN) que es único para la persona, organización o empresa. El CSR puede ir acompañado de otras credenciales o pruebas de identidad requeridas por la autoridad certificadora.

La CSR se validará mediante una autoridad de registro (RA) y luego la autoridad de certificación emitirá un certificado que vincula una clave pública a un nombre distinguido en particular . Las funciones de autoridad de registro y autoridad de certificación suelen ser unidades de negocio independientes con separación de funciones para reducir el riesgo de fraude.

Los certificados raíz confiables de una organización se pueden distribuir a todos los empleados para que puedan utilizar el sistema PKI de la empresa. Navegadores como Internet Explorer , Firefox , Opera , Safari y Chrome vienen con un conjunto predeterminado de certificados raíz preinstalados, por lo que los certificados SSL de las principales autoridades certificadoras funcionarán instantáneamente; de hecho, los desarrolladores de los navegadores determinan qué CA son terceros de confianza para los usuarios de los navegadores. Por ejemplo, Firefox proporciona un archivo CSV y/o HTML que contiene una lista de CA incluidas. ^[8]

X.509 y RFC  5280 también incluyen estándares para implementaciones de listas de revocación de certificados (CRL). Otra forma aprobada por el IETF de comprobar la validez de un certificado es el Protocolo de estado de certificados en línea (OCSP). Firefox 3.0 habilitó la comprobación OCSP de forma predeterminada, al igual que las versiones de Windows desde al menos Vista y posteriores. ^[9]

Estructura de un certificado

La estructura prevista por los estándares se expresa en un lenguaje formal, la Notación de Sintaxis Abstracta Uno (ASN.1).

La estructura de un certificado digital X.509 v3 es la siguiente:

• Certificado
  • Número de versión
  • Número de serie
  • ID del algoritmo de firma
  • Nombre del emisor
  • Periodo de validez
    • No antes
    • No después de
  • Nombre del tema
  • Información de clave pública del sujeto
    • Algoritmo de clave pública
    • Clave pública del sujeto
  • Identificador único del emisor (opcional)
  • Identificador único del sujeto (opcional)
  • Extensiones (opcional)
    • ...
• Algoritmo de firma de certificado
• Firma del certificado

El campo Extensiones, si está presente, es una secuencia de una o más extensiones de certificado. ^[10] Cada extensión tiene su propio ID único, expresado como identificador de objeto (OID) , que es un conjunto de valores, junto con una indicación crítica o no crítica. Un sistema que utiliza un certificado debe rechazar el certificado si encuentra una extensión crítica que no reconoce o una extensión crítica que contiene información que no puede procesar. Una extensión no crítica puede ignorarse si no se reconoce, pero debe procesarse si se reconoce. ^[11]

La estructura de la versión 1 se proporciona en RFC  1422.

El formato interno de los identificadores únicos de emisor y sujeto especificados en X.520 El directorio: recomendación de tipos de atributos seleccionados.

El UIT-T introdujo identificadores únicos de emisor y sujeto en la versión 2 para permitir la reutilización del nombre del emisor o del sujeto después de algún tiempo. Un ejemplo de reutilización será cuando una CA quiebra y su nombre es eliminado de la lista pública del país. Después de un tiempo, es posible que se registre otra CA con el mismo nombre, aunque no esté relacionada con la primera. Sin embargo, el IETF recomienda que no se reutilicen los nombres de emisor ni de sujeto. Por lo tanto, la versión 2 no está ampliamente implementada en Internet. ^{[ cita necesaria ]}

Las extensiones se introdujeron en la versión 3. Una CA puede utilizar extensiones para emitir un certificado sólo para un propósito específico (por ejemplo, sólo para firmar objetos digitales ).

En todas las versiones, el número de serie debe ser único para cada certificado emitido por una CA específica (como se menciona en RFC  5280).

Extensiones que informan un uso específico de un certificado

RFC  5280 (y sus predecesores) define una serie de extensiones de certificado que indican cómo se debe utilizar el certificado. La mayoría de ellos son arcos del joint-iso-ccitt(2) ds(5) id-ce(29)OID. Algunos de los más comunes, definidos en el apartado 4.2.1, son:

• Las restricciones básicas, { id-ce 19 }[ ^12] se utilizan para indicar si el certificado es un certificado de CA y puede certificar o emitir otros certificados. Una restricción se puede marcar como crítica. Si una restricción está marcada como crítica, entonces un agente no debe procesar el certificado si no comprende la restricción. Un agente puede continuar procesando una restricción no crítica que no comprende.
• Uso de clave, { id-ce 15 }[ ^13] proporciona un mapa de bits que especifica las operaciones criptográficas que pueden realizarse utilizando la clave pública contenida en el certificado; por ejemplo, podría indicar que la clave debe usarse para firmas pero no para cifrado.
• Uso extendido de clave, { id-ce 37 }[ ^14] se utiliza, normalmente en un certificado hoja, para indicar el propósito de la clave pública contenida en el certificado. Contiene una lista de OID, cada uno de los cuales indica un uso permitido. Por ejemplo, { id-pkix 3 1 }indica que la clave se puede utilizar en el extremo del servidor de una conexión TLS o SSL; { id-pkix 3 4 }indica que la clave se puede utilizar para proteger el correo electrónico.

En general, cuando se utiliza RFC 5280, si un certificado tiene varias extensiones que restringen su uso, se deben cumplir todas las restricciones para que un uso determinado sea apropiado. El RFC ofrece el ejemplo específico de un certificado que contiene tanto keyUsage como extendedKeyUsage: en este caso, ambos deben procesarse y el certificado solo puede usarse si ambas extensiones son coherentes al especificar el uso de un certificado. Por ejemplo, NSS usa ambas extensiones para especificar el uso de certificados. ^[15]

Certificados de Validación Extendida

Las autoridades de certificación que operan bajo la PKI de CA/Browser Forum emiten certificados con distintos niveles de validación. Las diferentes validaciones proporcionan diferentes niveles de garantía de que un certificado representa lo que se supone que debe representar. Por ejemplo, un servidor web se puede validar con el nivel más bajo de garantías mediante un correo electrónico llamado Validación de dominio (DV) . O un servidor web se puede validar con un nivel más alto de garantías utilizando métodos más detallados llamados Validación Extendida (EV) .

En la práctica, un certificado DV significa que se emitió un certificado para un dominio, como example.comdespués de que alguien respondió a un correo electrónico enviado a [email protected]. Un certificado EV significa que se emitió un certificado para un dominio como example.com, y una empresa como Ejemplo, LLC es el propietario del dominio, y el propietario fue verificado por los Artículos de Incorporación .

La validación extendida no agrega ningún control de seguridad adicional, por lo que la configuración de un canal seguro usando un certificado EV no es "más sólida" que una configuración de canal usando un nivel diferente de validación como DV.

La validación extendida se indica en un certificado que utiliza la extensión X.509 v3. Cada CA utiliza un Identificador de objeto (OID) diferente para afirmar la validación extendida. No existe un OID único para indicar la validación extendida, lo que complica la programación del agente de usuario. Cada agente de usuario debe tener una lista de OID que indiquen validación extendida.

La PKI de CA/Browser Forum reconoce la validación extendida y muchos navegadores brindan retroalimentación visual al usuario para indicar que un sitio proporciona un certificado EV. Otras PKI, como la PKI de Internet (PKIX), no ponen ningún énfasis especial en la validación extendida. Las herramientas que utilizan políticas PKIX, como cURL y Wget, simplemente tratan un certificado EV como cualquier otro certificado.

El experto en seguridad Peter Gutmann afirma que CA creó certificados de vehículos eléctricos para restaurar los niveles de ganancias después de que la carrera hacia el fondo redujera las ganancias. Durante la carrera hacia el fondo, CA recortó los precios para atraer a los consumidores a comprar sus certificados. Como resultado, las ganancias se redujeron y las CA redujeron el nivel de validación que realizaban hasta el punto de que casi no había garantías en un certificado. ^[5]

Extensiones de nombre de archivo de certificado

Existen varias extensiones de nombre de archivo de uso común para los certificados X.509. Lamentablemente, algunas de estas extensiones también se utilizan para otros datos, como claves privadas.

• .pem– ( Correo electrónico con privacidad mejorada ) Certificado DER codificado en Base64 , encerrado entre y-----BEGIN CERTIFICATE----------END CERTIFICATE-----
• .cer, .crt, .der– generalmente en formato DER binario , pero los certificados codificados en Base64 también son comunes (ver .pemarriba)
• .p8, .p8e, .pk8– clave privada exportada como se especifica en PKCS#8 . Puede estar en formato DER o PEM y comienza con -----BEGIN PRIVATE KEY-----. La clave cifrada comienza con -----BEGIN ENCRYPTED PRIVATE KEY-----y puede tener la .p8eextensión.
• .p10, .csr– PKCS#10 una Solicitud de firma de certificado (CSR). En formato PEM comienza con -----BEGIN CERTIFICATE REQUEST-----. Estos se generan para enviarlos a las autoridades de certificación (CA). Incluye detalles clave del certificado solicitado, como nombre común (/CN), asunto, organización, estado, país, así como la clave pública del certificado a firmar. Estos son firmados por la CA y se devuelve un certificado. El certificado devuelto es el certificado público (que incluye la clave pública pero no la clave privada), que a su vez puede estar en un par de formatos, pero normalmente en .p7r. ^[dieciséis]
• .p7r– Respuesta PKCS#7 a la RSC. Contiene el certificado recién firmado y el propio certificado de la CA.
• .p7s- Firma digital PKCS#7 . Puede contener el archivo o mensaje original firmado. Se utiliza en S/MIME para firmar correos electrónicos. Definido en RFC 2311.
• .p7m- Mensaje PKCS#7 (Datos firmados, Datos envueltos), por ejemplo, archivo cifrado ("en sobre"), mensaje o carta de correo electrónico MIME. Definido en RFC 2311.
• .p7c- PKCS#7 degeneró la estructura "solo certificados" de SignedData, sin ningún dato para firmar. Definido en RFC 2311.
• .p7b, .keystore- PKCS#7 Estructura SignedData sin datos, solo paquete de certificados y/o CRL (rara vez), pero no una clave privada. Utiliza el formulario DER o BER o PEM que comienza con -----BEGIN PKCS7-----. El formato utilizado por Windows para el intercambio de certificados. Compatible con Java, pero a menudo tiene .keystoreuna extensión. A diferencia de .pemlos certificados de estilo, este formato tiene una forma definida de incluir certificados de ruta de certificación.
• .p12, .pfx, .pkcs12– PKCS#12 , puede contener certificados (públicos) y claves privadas (protegidas con contraseña) en un solo archivo. El .pfx– Personal Information eXchange PFX, predecesor de PKCS#12 (normalmente contiene datos en formato PKCS#12, por ejemplo, con archivos PFX generados en IIS ).
• .crl- Una Lista de Revocación de Certificados (CRL). Las autoridades certificadoras los producen como una forma de desautorizar los certificados antes de su vencimiento.

PKCS#7 es un estándar para firmar o cifrar (oficialmente llamado "envolvente") datos. Dado que el certificado es necesario para verificar los datos firmados, es posible incluirlos en la estructura SignedData.

Cadenas de certificados y certificación cruzada

Una cadena de certificados (consulte el concepto equivalente de "ruta de certificación" definido por RFC  5280 sección 3.2) es una lista de certificados (generalmente comenzando con un certificado de entidad final) seguida de uno o más certificados de CA (generalmente el último es un certificado de entidad propia). -certificado firmado), con las siguientes propiedades:

1. El Emisor de cada certificado (excepto el último) coincide con el Asunto del siguiente certificado en la lista
2. Cada certificado (excepto el último) está firmado por la clave secreta correspondiente al siguiente certificado de la cadena (es decir, la firma de un certificado se puede verificar utilizando la clave pública contenida en el siguiente certificado).
3. El último certificado de la lista es un ancla de confianza : un certificado en el que usted confía porque le fue entregado mediante algún procedimiento confiable.

Las cadenas de certificados se utilizan para comprobar que la clave pública (PK) contenida en un certificado de destino (el primer certificado de la cadena) y otros datos contenidos en él pertenecen efectivamente a su sujeto. Para comprobar esto, la firma en el certificado de destino se verifica utilizando la PK contenida en el siguiente certificado, cuya firma se verifica utilizando el siguiente certificado, y así sucesivamente hasta llegar al último certificado de la cadena. Como el último certificado es un ancla de confianza, alcanzarlo con éxito demostrará que se puede confiar en el certificado de destino.

La descripción en el párrafo anterior es una vista simplificada del proceso de validación de la ruta de certificación según lo definido por RFC  5280 sección 6, que implica comprobaciones adicionales, como verificar las fechas de validez de los certificados, buscar CRL , etc.

Ejemplo 1: Certificación cruzada entre dos PKI

Ejemplo 2: renovación del certificado de CA

Al examinar cómo se construyen y validan las cadenas de certificados, es importante señalar que un certificado concreto puede formar parte de cadenas de certificados muy diferentes (todas ellas válidas). Esto se debe a que se pueden generar varios certificados de CA para el mismo sujeto y clave pública, pero estar firmados con diferentes claves privadas (de diferentes CA o diferentes claves privadas de la misma CA). Por lo tanto, aunque un único certificado X.509 sólo puede tener un emisor y una firma de CA, se puede vincular válidamente a más de un certificado, creando cadenas de certificados completamente diferentes. Esto es crucial para la certificación cruzada entre PKI y otras aplicaciones. ^[17] Véanse los siguientes ejemplos:

Ejemplos

En estos diagramas:

• Cada casilla representa un certificado, con su Asunto en negrita.
• A → B significa "A está firmado por B" (o, más precisamente, "A está firmado por la clave secreta correspondiente a la clave pública contenida en B").
• Los certificados del mismo color (que no sean blancos/transparentes) contienen la misma clave pública

Ejemplo 1: Certificación cruzada a nivel de autoridad de certificación (CA) raíz entre dos PKI

Para gestionar que los certificados de usuario existentes en PKI 2 (como "Usuario 2") sean confiables para PKI 1, CA1 genera un certificado (cert2.1) que contiene la clave pública de CA2. ^[18] Ahora tanto "cert2 como cert2.1 (en verde) tienen el mismo asunto y clave pública, por lo que hay dos cadenas válidas para cert2.2 (Usuario 2): "cert2.2 → cert2" y "cert2.2 → cert2.1 → cert1".

De manera similar, CA2 puede generar un certificado (cert1.1) que contenga la clave pública de CA1 para que PKI 2 confíe en los certificados de usuario existentes en PKI 1 (como "Usuario 1").

Ejemplo 2: renovación del certificado de CA

Comprensión de la construcción de la ruta de certificación (PDF) . Foro PKI. Septiembre de 2002. Para permitir una transición elegante del antiguo par de claves de firma al nuevo par de claves de firma, la CA debe emitir un certificado que contenga la antigua clave pública firmada por la nueva clave de firma privada y un certificado que contenga la nueva clave pública firmada. por la antigua clave de firma privada. Ambos certificados son autoexpedidos, pero ninguno está autofirmado . Tenga en cuenta que estos son adicionales a los dos certificados autofirmados (uno antiguo y otro nuevo).

Dado que tanto cert1 como cert3 contienen la misma clave pública (la anterior), existen dos cadenas de certificados válidas para cert5: "cert5 → cert1" y "cert5 → cert3 → cert2", y de manera análoga para cert6. Esto permite que una parte que tenga el nuevo certificado de CA raíz o el antiguo como ancla de confianza pueda confiar indiferentemente en los certificados de usuario antiguos (como cert5) y en los nuevos (como cert6) durante la transición a las nuevas claves de CA. ^[19]

Certificados X.509 de muestra

Este es un ejemplo de un certificado X.509 decodificado que fue utilizado en el pasado por wikipedia.org y varios otros sitios web de Wikipedia. Fue emitido por GlobalSign , como se indica en el campo Emisor. Su campo Asunto describe Wikipedia como una organización, y su campo Nombre alternativo del sujeto (SAN) para DNS describe los nombres de host para los que podría usarse. El campo Información de clave pública del sujeto contiene una clave pública ECDSA , mientras que la firma en la parte inferior fue generada por la clave privada RSA de GlobalSign . (Las firmas en estos ejemplos están truncadas).

Certificado de entidad final

Certificado: Datos: Versión: 3 (0x2) Número de serie: 10:e6:fc:62:b7:41:8a:d5:00:5e:45:b6 Algoritmo de firma: sha256WithRSAEncryption Emisor: C=BE, O=GlobalSign nv-sa, CN=Validación de organización GlobalSign CA - SHA256 - G2 Validez No antes: 21 de noviembre 08:00:00 2016 GMT No después: 22 de noviembre 07:59:59 2017 GMT Asunto: C=EE.UU., ST=California, L=San Francisco, O=Wikimedia Foundation, Inc., CN=*.wikipedia.org Información de clave pública del sujeto: Algoritmo de clave pública: id-ecPublicKey Clave pública: (256 bits) pub: 00:c9:22:69:31:8a:d6:6c:ea:da:c3:7f:2c:ac:a5: af:c0:02:ea:81:cb:65:b9:fd:0c:6d:46:5b:c9:1e: 9d:3b:ef OID ASN1: prime256v1 CURVA NIST: P-256 Extensiones X509v3: Uso de clave X509v3: crítico Firma digital, acuerdo clave Acceso a la información de la autoridad: Emisores de CA - URI: http://secure.globalsign.com/cacert/gsorganizationvalsha2g2r1.crt OCSP - URI: http://ocsp2.globalsign.com/gsorganizationvalsha2g2 Políticas de certificado X509v3: Política: 1.3.6.1.4.1.4146.1.20 CPS: https://www.globalsign.com/repository/ Política: 2.23.140.1.2.2 Restricciones básicas de X509v3: CA:FALSO Puntos de distribución de CRL X509v3: Nombre completo: URI: http://crl.globalsign.com/gs/gsorganizationvalsha2g2.crl Nombre alternativo del sujeto X509v3: DNS:*.wikipedia.org, DNS:*.m.mediawiki.org, DNS:*.m.wikibooks.org, DNS:*.m.wikidata.org, DNS:*.m.wikimedia.org, DNS: *.m.wikimediafoundation.org, DNS:*.m.wikinews.org, DNS:*.m.wikipedia.org, DNS:*.m.wikiquote.org, DNS:*.m.wikisource.org, DNS: *.m.wikiversity.org, DNS:*.m.wikivoyage.org, DNS:*.m.wiktionary.org, DNS:*.mediawiki.org, DNS:*.planet.wikimedia.org, DNS:*. wikibooks.org, DNS:*.wikidata.org, DNS:*.wikimedia.org, DNS:*.wikimediafoundation.org, DNS:*.wikinews.org, DNS:*.wikiquote.org, DNS:*.wikisource. org, DNS:*.wikiversity.org, DNS:*.wikivoyage.org, DNS:*.wiktionary.org, DNS:*.wmfusercontent.org, DNS:*.zero.wikipedia.org, DNS:mediawiki.org, DNS:w.wiki, DNS:wikibooks.org, DNS:wikidata.org, DNS:wikimedia.org, DNS:wikimediafoundation.org, DNS:wikinews.org, DNS:wikiquote.org, DNS:wikisource.org, DNS: wikiversity.org, DNS:wikivoyage.org, DNS:wiktionary.org, DNS:wmfusercontent.org, DNS:wikipedia.org Uso de clave extendida X509v3: Autenticación de servidor web TLS, Autenticación de cliente web TLS Identificador de clave de asunto X509v3: 28:2A:26:2A:57:8B:3B:CE:B4:D6:AB:54:EF:D7:38:21:2C:49:5C:36 Identificador de clave de autoridad X509v3: ID de clave:96:DE:61:F1:BD:1C:16:29:53:1C:C0:CC:7D:3B:83:00:40:E6:1A:7C

 Algoritmo de firma: sha256WithRSAEncryption 8b:c3:ed:d1:9d:39:6f:af:40:72:bd:1e:18:5e:30:54:23:35: ...

Para validar este certificado de entidad final, se necesita un certificado intermedio que coincida con su identificador de clave de emisor y autoridad:

En una conexión TLS, un servidor configurado correctamente proporcionaría el intermediario como parte del protocolo de enlace. Sin embargo, también es posible recuperar el certificado intermedio obteniendo la URL "Emisores de CA" del certificado de entidad final.

Certificado intermedio

Este es un ejemplo de un certificado intermedio que pertenece a una autoridad certificadora . Este certificado firmó el certificado de entidad final anterior y fue firmado por el certificado raíz a continuación. Tenga en cuenta que el campo de asunto de este certificado intermedio coincide con el campo de emisor del certificado de entidad final que firmó. Además, el campo "identificador de clave de sujeto" en el intermedio coincide con el campo "identificador de clave de autoridad" en el certificado de entidad final.

Certificado: Datos: Versión: 3 (0x2) Número de serie: 04:00:00:00:00:01:44:4e:f0:42:47 Algoritmo de firma: sha256WithRSAEncryption Emisor: C=BE, O=GlobalSign nv-sa, OU=CA raíz, CN=CA raíz de GlobalSign Validez No antes: 20 de febrero a las 10:00:00 2014 GMT No después: 20 de febrero a las 10:00:00 2024 GMT Asunto: C=BE, O=GlobalSign nv-sa, CN=Validación de organización GlobalSign CA - SHA256 - G2 Información de clave pública del sujeto: Algoritmo de clave pública: rsaEncryption Clave pública: (2048 bits) Módulo: 00:c7:0e:6c:3f:23:93:7f:cc:70:a5:9d:20:c3:0e: ... Exponente: 65537 (0x10001) Extensiones X509v3: Uso de clave X509v3: crítico Signo de certificado, signo CRL Restricciones básicas de X509v3: críticas CA: VERDADERO, ruta: 0 Identificador de clave de asunto X509v3: 96:DE:61:F1:BD:1C:16:29:53:1C:C0:CC:7D:3B:83:00:40:E6:1A:7C Políticas de certificado X509v3: Política: X509v3 Cualquier política CPS: https://www.globalsign.com/repository/ Puntos de distribución de CRL X509v3: Nombre completo: URI: http://crl.globalsign.net/root.crl Acceso a la información de la autoridad: OCSP-URI:http://ocsp.globalsign.com/rootr1 Identificador de clave de autoridad X509v3: ID de clave:60:7B:66:1A:45:0D:97:CA:89:50:2F:7D:04:CD:34:A8:FF:FC:FD:4B Algoritmo de firma: sha256WithRSAEncryption 46:2a:ee:5e:bd:ae:01:60:37:31:11:86:71:74:b6:46:49:c8: ...

Certificado raíz

Este es un ejemplo de un certificado raíz autofirmado que representa una autoridad certificadora . Sus campos emisor y asunto son los mismos y su firma se puede validar con su propia clave pública. La validación de la cadena de confianza tiene que terminar aquí. Si el programa de validación tiene este certificado raíz en su almacén de confianza, el certificado de entidad final puede considerarse confiable para su uso en una conexión TLS. De lo contrario, el certificado de entidad final se considera no confiable.

Certificado: [20] Datos: Versión: 3 (0x2) Número de serie: 04:00:00:00:00:01:15:4b:5a:c3:94 Algoritmo de firma: sha1WithRSAEncryption Emisor: C=BE, O=GlobalSign nv-sa, OU=CA raíz, CN=CA raíz de GlobalSign Validez No antes: 1 de septiembre a las 12:00:00 1998 GMT No después: 28 de enero a las 12:00:00 2028 GMT Asunto: C=BE, O=GlobalSign nv-sa, OU=CA raíz, CN=CA raíz de GlobalSign Información de clave pública del sujeto: Algoritmo de clave pública: rsaEncryption Clave pública: (2048 bits) Módulo: 00:da:0e:e6:99:8d:ce:a3:e3:4f:8a:7e:fb:f1:8b: ... Exponente: 65537 (0x10001) Extensiones X509v3: Uso de clave X509v3: crítico Signo de certificado, signo CRL Restricciones básicas de X509v3: críticas CA: VERDADERO Identificador de clave de asunto X509v3: 60:7B:66:1A:45:0D:97:CA:89:50:2F:7D:04:CD:34:A8:FF:FC:FD:4B Algoritmo de firma: sha1WithRSAEncryption d6:73:e7:7c:4f:76:d0:8d:bf:ec:ba:a2:be:34:c5:28:32:b5: ...

Seguridad

Hay varias publicaciones sobre problemas de PKI de Bruce Schneier , Peter Gutmann y otros expertos en seguridad. ^{[21] [22] [23]}

Debilidades arquitectónicas

• Uso de listas de bloqueo de certificados no válidos (usando CRL y OCSP ),
  • Si el cliente sólo confía en los certificados cuando las CRL están disponibles, pierde la capacidad fuera de línea que hace que PKI sea atractiva. Por lo tanto, la mayoría de los clientes confían en los certificados cuando las CRL no están disponibles, pero en ese caso un atacante que controle el canal de comunicación puede desactivar las CRL. Adam Langley de Google ha dicho que las comprobaciones de CRL de fallo suave son como un cinturón de seguridad que funciona excepto cuando se tiene un accidente. ^[24]
• Las CRL son notablemente una mala elección debido a su gran tamaño y patrones de distribución complicados.
• Semántica OCSP ambigua y falta de estado de revocación histórico.
• No se aborda la revocación de certificados raíz,
• Problema de agregación : las reclamaciones de identidad (autenticarse con un identificador), las reclamaciones de atributos (enviar una bolsa de atributos examinados) y las reclamaciones de políticas se combinan en un solo contenedor. Esto plantea problemas de privacidad, mapeo de políticas y mantenimiento. ^{[ se necesita aclaración ]}
• Problema de delegación : las CA técnicamente no pueden restringir que las CA subordinadas emitan certificados fuera de espacios de nombres o conjuntos de atributos limitados; esta característica de X.509 no está en uso. Por lo tanto, existe una gran cantidad de CA en Internet, y clasificarlas y sus políticas es una tarea insuperable. La delegación de autoridad dentro de una organización no se puede abordar en absoluto, como ocurre en la práctica empresarial común. ^{[25] [ verificación fallida ]}
• Problema de federación : las cadenas de certificados que son el resultado de CA subordinadas, CA puente y firma cruzada hacen que la validación sea compleja y costosa en términos de tiempo de procesamiento. La semántica de validación de rutas puede ser ambigua. La jerarquía con un tercero de confianza es el único modelo. Esto resulta inconveniente cuando ya existe una relación de confianza bilateral.
• La emisión de un certificado de validación extendida (EV) para un nombre de host no impide la emisión de un certificado de validación inferior válido para el mismo nombre de host, lo que significa que el nivel de validación más alto de EV no protege contra intermediarios. ataques. ^[26]

Problemas con las autoridades certificadoras.

• La persona u organización que compra un certificado suele utilizar la autoridad de certificación menos costosa. En respuesta, las CA han reducido los precios y eliminado los controles de validación más costosos en lo que se conoce como una carrera hacia el fondo . La carrera hacia el fondo se aborda en parte mediante certificados de validación extendida (EV) , pero el valor de confianza a los ojos de los expertos en seguridad está disminuyendo. ^[27] Según Peter Gutmann , los certificados EV no añaden ningún control de seguridad adicional. Más bien, los certificados de vehículos eléctricos simplemente restablecen las ganancias de las CA a niveles anteriores a la carrera hacia el fondo, al permitir que una CA cobre más por un servicio que debería haber estado brindando desde el principio. ^[5]
• Las autoridades de certificación intentan negar casi todas las garantías al usuario y a las partes que confían en su Declaración de prácticas de certificación (CPS) . Por ejemplo, Apple Inc establece en su CPS: "En la medida en que lo permita la ley aplicable, los acuerdos de suscriptor, si corresponde, renuncian a las garantías de Apple, incluida cualquier garantía de comerciabilidad o idoneidad para un propósito particular". ^[28]
• Según Peter Gutmann, "los usuarios utilizan un protocolo de solicitud de certificación indefinido para obtener un certificado que se publica en una ubicación poco clara en un directorio inexistente sin medios reales para revocarlo" ^[23]
• Como todas las empresas, las CA están sujetas a las jurisdicciones legales en las que operan y pueden verse obligadas legalmente a comprometer los intereses de sus clientes y usuarios. Las agencias de inteligencia también han hecho uso de certificados falsos emitidos a través de compromisos extralegales de CA, como DigiNotar , para llevar a cabo ataques de intermediario . ^{[ cita necesaria ]} Otro ejemplo es una solicitud de revocación de la CA del gobierno holandés, debido a una ley holandesa aprobada en 2018, que otorga nuevos poderes a los servicios de inteligencia y seguridad holandeses ^[29]

Problemas de implementación

Las implementaciones adolecen de fallas de diseño, errores, diferentes interpretaciones de los estándares y falta de interoperabilidad de los diferentes estándares. Algunos problemas son:

• Muchas implementaciones desactivan la verificación de revocación:
  • Consideradas un obstáculo, las políticas no se aplican
  • Si estuviera activado en todos los navegadores de forma predeterminada, incluida la firma de código, probablemente bloquearía la infraestructura.
• Los DN son complejos y poco comprendidos (falta de canonicalización, problemas de internacionalización)
• rfc822Name tiene dos notaciones
• Las restricciones de nombre y política apenas se admiten
• Se ignora el uso de claves, se utiliza el primer certificado de una lista
• La aplicación de OID personalizados es difícil
• Los atributos no deben ser críticos porque hacen que los clientes colapsen.
• La longitud no especificada de los atributos genera límites específicos del producto
• Hay errores de implementación con X.509 que permiten, por ejemplo, nombres de sujetos falsificados utilizando cadenas terminadas en nulo ^[30] o ataques de inyección de código en certificados.
• Al usar subidentificadores ilegales ^{[31] acolchados 0x80 de} identificadores de objetos , implementaciones incorrectas o al usar desbordamientos de enteros de los navegadores del cliente, un atacante puede incluir un atributo desconocido en el CSR, que la CA firmará, y que el cliente interpreta erróneamente como "CN " (OID=2.5.4.3). Dan Kaminsky en el 26º Congreso de Comunicación del Caos "OP negros de PKI" ^[32]

Debilidades criptográficas

Los sistemas de firma digital dependen de funciones hash criptográficas seguras para funcionar. Cuando una infraestructura de clave pública permite el uso de una función hash que ya no es segura, un atacante puede explotar las debilidades de la función hash para falsificar certificados. Específicamente, si un atacante puede producir una colisión de hash , puede convencer a una CA para que firme un certificado con contenidos inofensivos, donde el hash de esos contenidos es idéntico al hash de otro conjunto malicioso de contenidos de certificados, creado por el atacante. con valores de su elección. Luego, el atacante puede agregar la firma proporcionada por la CA al contenido de su certificado malicioso, lo que da como resultado un certificado malicioso que parece estar firmado por la CA. Debido a que el contenido del certificado malicioso lo elige únicamente el atacante, pueden tener fechas de validez o nombres de host diferentes a los del certificado inofensivo. El certificado malicioso puede incluso contener un campo "CA: true" que le permita emitir más certificados confiables.

• Los certificados basados ​​en MD2 se utilizaron durante mucho tiempo y eran vulnerables a ataques previos a la imagen . Dado que el certificado raíz ya tenía una autofirma, los atacantes podrían usar esta firma y utilizarla para un certificado intermedio.
• En 2005, Arjen Lenstra y Benne de Weger demostraron "cómo utilizar colisiones hash para construir dos certificados X.509 que contienen firmas idénticas y que difieren sólo en las claves públicas", logrado mediante un ataque de colisión en la función hash MD5 . ^[33]
• En 2008, Alexander Sotirov y Marc Stevens presentaron en el Chaos Communication Congress un ataque práctico que les permitió crear una autoridad de certificación fraudulenta, aceptada por todos los navegadores comunes, aprovechando el hecho de que RapidSSL todavía emitía certificados X.509 basados ​​en MD5. ^[34]
• En abril de 2009, en la Conferencia Eurocrypt, ^[35] investigadores australianos de la Universidad Macquarie presentaron "Búsqueda automática de ruta diferencial para SHA-1 ". ^[36] Los investigadores pudieron deducir un método que aumenta la probabilidad de una colisión en varios órdenes de magnitud. ^[37]
• En febrero de 2017, un grupo de investigadores dirigido por Marc Stevens produjo una colisión SHA-1, demostrando la debilidad de SHA-1. ^[38]

Mitigaciones para las debilidades criptográficas

Explotar una colisión de hash para falsificar firmas X.509 requiere que el atacante pueda predecir los datos que firmará la autoridad certificadora. Esto puede mitigarse en cierta medida si la CA genera un componente aleatorio en los certificados que firma, normalmente el número de serie. El CA/Browser Forum exige la entropía del número de serie en su Sección 7.1 de Requisitos básicos desde 2011. ^[39]

A partir del 1 de enero de 2016 ^[actualizar], los requisitos básicos prohíben la emisión de certificados utilizando SHA-1. A principios de 2017 ^[actualizar], Chrome ^[40] y Firefox ^[41] rechazan los certificados que utilizan SHA-1. En mayo de 2017, ^[actualizar]tanto Edge ^[42] como Safari ^[43] también rechazan el certificado SHA-1. Los validadores X.509 que no son de navegador aún no rechazan los certificados SHA-1. ^[44]

Estándares PKI para X.509

• PKCS7 (Estándar de sintaxis de mensajes criptográficos: claves públicas con prueba de identidad para mensajes firmados y/o cifrados para PKI) ^[45]
• Transport Layer Security (TLS) y su predecesor SSL: protocolos criptográficos para comunicaciones seguras en Internet. ^[46]
• Protocolo de estado de certificados en línea (OCSP) ^[47] / lista de revocación de certificados (CRL) ^[48]  : esto es para verificar el estado de revocación de certificados
• PKCS12 (Estándar de sintaxis de intercambio de información personal): se utiliza para almacenar una clave privada con el certificado de clave pública apropiado ^[49]
• Creación de rutas de certificación: orientación y recomendaciones para crear rutas de certificación de clave pública X.509 dentro de las aplicaciones (es decir, validar un certificado de entidad final utilizando un certificado de CA)

Grupo de trabajo PKIX

En 1995, el Grupo de Trabajo de Ingeniería de Internet junto con el Instituto Nacional de Estándares y Tecnología ^[50] formaron el grupo de trabajo de Infraestructura de clave pública (X.509). El grupo de trabajo, concluido en junio de 2014, ^[51] se conoce comúnmente como "PKIX". Produjo RFC y otra documentación estándar sobre el uso y la implementación de X.509 en la práctica. En particular, produjo el RFC  3280 y su sucesor, el RFC 5280, que definen cómo utilizar X.509 en los protocolos de Internet.

Principales protocolos y estándares que utilizan certificados X.509

TLS/SSL y HTTPS utilizan el perfil RFC  5280 de X.509, al igual que S/MIME (Extensiones seguras de correo de Internet multipropósito) y el método EAP-TLS para la autenticación WiFi. Cualquier protocolo que utilice TLS, como SMTP, POP, IMAP, LDAP, XMPP y muchos más, utiliza inherentemente X.509.

IPsec puede utilizar el perfil RFC  4945 para autenticar pares.

La especificación de seguridad de OpenCable define su propio perfil de X.509 para su uso en la industria del cable.

Los dispositivos como las tarjetas inteligentes y los TPM suelen llevar certificados para identificarse a sí mismos o a sus propietarios. Estos certificados están en formato X.509.

El estándar WS-Security define la autenticación mediante TLS o mediante su propio perfil de certificado. ^[20] Ambos métodos utilizan X.509.

El sistema de firma de código Microsoft Authenticode utiliza X.509 para identificar a los autores de programas informáticos.

El estándar de comunicación de automatización industrial OPC UA utiliza X.509.

SSH generalmente utiliza un modelo de seguridad Trust On First Use y no necesita certificados. Sin embargo, la popular implementación OpenSSH admite un modelo de identidad firmado por una CA basado en su propio formato de certificado no X.509. ^[52]

Ver también

• Notación de sintaxis abstracta uno
• Política de certificados
• Seguridad de acceso al código
• Seguridad de las comunicaciones
• Seguridad de información
• ISO/IEC JTC 1
• Protocolo de consulta de recursos PKI
• Criptografía de clave pública
• Infraestructura de Clave Pública
• Protocolo de marca de tiempo
• Marca de tiempo confiable
• EdDSA

Referencias

1. "X.509: Tecnología de la información - Interconexión de sistemas abiertos - El directorio: marcos de certificados de atributos y claves públicas". UIT . Consultado el 6 de noviembre de 2019 .
2. RFC 4158
3. "Errores monumentales en materia de ciberseguridad". círculoid.com . Consultado el 3 de septiembre de 2022 .
4. Cooper, D.; Santesson, S.; Farrell, S.; Boeyen, S.; Housley, R.; Polk, W. (mayo de 2008). "Perfil de lista de revocación de certificados (CRL) y certificado de infraestructura de clave pública de Internet X.509". doi : 10.17487/RFC5280 . Consultado el 29 de mayo de 2020 . A continuación se muestra una vista simplificada del modelo arquitectónico asumido por la Infraestructura de Clave Pública utilizando las especificaciones X.509 (PKIX). {{cite journal}}: Citar diario requiere |journal=( ayuda )
5. Gutmann, Peter (abril de 2014). "Ingeniería de seguridad" (PDF) .
6. Housley, R.; Hoffman, P. (1999). "4: registros MIME". Protocolos operativos de infraestructura de clave pública de Internet X.509: FTP y HTTP. IETF . págs. 4–5. doi : 10.17487/RFC2585 . ISSN  2070-1721. RFC 2585.
7. "Certificado x509". Documentación para desarrolladores de Apple: identificadores de tipo uniforme . Apple Inc .
8. "CA: CA incluidas". Wiki de Mozilla . Consultado el 17 de enero de 2017 .
9. "Error 110161: (ocspdefault) habilita OCSP de forma predeterminada". Mozilla . Consultado el 17 de marzo de 2016 .
10. "RFC 5280 sección 4.1.2.9". IETF . Consultado el 4 de febrero de 2023 .
11. "RFC 5280 sección 4.2". Herramientas . IETF. Mayo de 2008 . Consultado el 12 de febrero de 2013 .
12. "RFC 5280, Sección 'Restricciones básicas'".
13. "'RFC 5280, Sección 'Uso de claves'".
14. "RFC 5280, sección 'Uso extendido de claves'".
15. Nelson B Boyard (9 de mayo de 2002). "Todo sobre las extensiones de certificados". Mozilla . Consultado el 10 de septiembre de 2020 .
16. sysadmin1138 (19 de mayo de 2009). "¿Qué es un archivo Pem y en qué se diferencia de otros formatos de archivos de clave generados por OpenSSL?". Fallo del servidor . Consultado el 19 de octubre de 2023 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )  Este artículo incorpora texto de esta fuente, que está disponible bajo la licencia CC BY-SA 2.5.
17. Lloyd, Steve (septiembre de 2002). Comprensión de la construcción de la ruta de certificación (PDF) . Foro PKI.
18. "Certificación cruzada entre CA raíz". Escenarios de implementación de subordinación calificada. Microsoft. Agosto de 2009.
19. Nash; Duane; Joseph; Borde (2001). "Ciclos de vida de claves y certificados. Renovación de certificados de CA". PKI: Implementación y gestión de la seguridad electrónica . Prensa RSA - Osborne/McGraw-Hill. ISBN 0-07-213123-3.
20. "Perfil de token X.509 de seguridad de servicios web versión 1.1.1". Oasis . Consultado el 14 de marzo de 2017 .
21. Carl Ellison y Bruce Schneier. "Los 10 principales riesgos de PKI" (PDF) . Revista de seguridad informática (Volumen XVI, Número 1, 2000).
22. Pedro Gutmann . "PKI: no está muerta, solo descansando" (PDF) . Computadora IEEE (Volumen: 35, Número: 8).
23. Gutmann, Peter . "Todo lo que nunca quiso saber sobre PKI pero se vio obligado a descubrirlo" (PDF) . Consultado el 14 de noviembre de 2011 .
24. Langley, Adam (5 de febrero de 2012). "Comprobación de revocación y CRL de Chrome". Violeta Imperial . Consultado el 2 de febrero de 2017 .
25. "Muestra de plan de negocios de sistemas de seguridad [2021]". OGScapital . 2014-01-27 . Consultado el 30 de junio de 2021 .
26. Michael Zusman; Alexander Sotirov (julio de 2009). "Sub-Prime PKI: ataque a SSL de validación extendida" (PDF) . Sombrero negro . Consultado el 10 de septiembre de 2020 .
27. Hunt, Troy (17 de septiembre de 2018). "Los certificados de validación extendida están muertos". TroyHunt.com . Consultado el 26 de febrero de 2019 .
28. "Autoridad de certificación: declaración de prácticas de certificación" (PDF) . Versión 6.1. Apple Inc . 19 de agosto de 2016.
29. van Pelt, Cris. "Logius: problema de confianza de CA del gobierno holandés". Bugzilla . Consultado el 31 de octubre de 2017 .
30. Moxie Marlinspike (2009). "Más trucos para derrotar a SSL en la práctica" (PDF) . Instituto de Estudios Disruptivos. Sombrero negro . Consultado el 10 de septiembre de 2020 .
31. Rec. UIT-T X.690, cláusula 8.19.2
32. Dan Kaminsky (29 de diciembre de 2009). "26C3: Operaciones encubiertas de PKI". Blog de eventos del CCC . Club de informática del caos . Consultado el 29 de septiembre de 2013 .
33. Lenstra, Arjen; de Weger, Benne (19 de mayo de 2005). Sobre la posibilidad de construir colisiones hash significativas para claves públicas (PDF) (Informe técnico). Lucent Technologies, Bell Laboratories y Technische Universiteit Eindhoven. Archivado (PDF) desde el original el 14 de mayo de 2013 . Consultado el 28 de septiembre de 2013 .
34. "MD5 se considera dañino hoy". Universidad Tecnológica de Eindhoven. 16 de junio de 2011 . Consultado el 29 de septiembre de 2013 .
35. "Eurocripta 2009". Asociación Internacional para la Investigación Criptológica.
36. Cameron McDonald; Philip Hawkes; José Pieprzyk (2009). "Colisiones SHA-1 ahora" (PDF) . Universidad Macquarie y Qualcomm . Consultado el 10 de septiembre de 2020 .
37. Dennis Dwyer (2 de junio de 2009). "Los ataques de colisión SHA-1 ahora son 252". Perspectivas de SecureWorks . Consultado el 24 de febrero de 2016 .
38. Marc Stevens; Elie Bursztein; Pierre Karpman; Ángel Albertini; Yarik Markov. "La primera colisión para SHA-1 completo" (PDF) . CWI Ámsterdam y Google Research . Consultado el 10 de septiembre de 2020 a través de Shattered.
39. "Documentos de requisitos básicos". Foro del navegador CA. Consultado el 19 de marzo de 2017 .
40. Andrew Whaley (16 de noviembre de 2016). "Certificados SHA-1 en Chrome". Blog de seguridad en línea de Google . Consultado el 19 de marzo de 2017 .
41. "El fin de SHA-1 en la Web pública". Blog de seguridad de Mozilla . Consultado el 19 de marzo de 2017 .
42. "Aviso de seguridad de Microsoft 4010323". Technet . Microsoft . Consultado el 16 de mayo de 2017 .
43. "Safari y WebKit no admiten certificados SHA-1". Soporte de Apple . 16 de agosto de 2018 . Consultado el 10 de septiembre de 2020 .
44. Daniel Stenburg (10 de enero de 2017). "HTTPS menor para quienes no son navegadores". Daniel Hax . Consultado el 19 de marzo de 2017 .
45. B Kaliski (marzo de 1998). "PKCS #7: Sintaxis de mensajes criptográficos versión 1.5". IETF . Consultado el 10 de septiembre de 2020 .
46. T Dierks (agosto de 2008). "Protocolo de seguridad de la capa de transporte (TLS) versión 1.2". IETF . Consultado el 10 de septiembre de 2020 .
47. Stefan Santesson; Michael Myers; Ankey rico; Slava Galperin; Carlisle Adams (junio de 2013). "Protocolo de estado de certificado en línea de infraestructura de clave pública de Internet X.509 - OCSP". Herramientas . IETF . Consultado el 10 de septiembre de 2020 .
48. David Cooper; Stefan Santesson; Stephen Farrell; Sharon Boeyen; Russell Housley; Tim Polk (mayo de 2008). "Perfil de lista de revocación de certificados (CRL) y certificado de infraestructura de clave pública de Internet X.509". Herramientas . IETF . Consultado el 10 de septiembre de 2020 .
49. "PKCS 12: Estándar de sintaxis de intercambio de información personal". EMC.com . Laboratorios RSA. Archivado desde el original el 6 de julio de 2017 . Consultado el 19 de marzo de 2017 .
50. "Infraestructura de clave pública (X.509) (pkix) - Carta". Rastreador de datos del IETF . Grupo de Trabajo de Ingeniería de Internet . Consultado el 1 de octubre de 2013 .
51. "Páginas de estado de Pkix". Herramientas del IETF . Consultado el 10 de marzo de 2017 .
52. "Cómo crear una CA SSH para validar hosts y clientes con Ubuntu". Océano Digital . Consultado el 19 de marzo de 2017 .

enlaces externos

• Estándares X.509 de ITU-T
• Artículos de Peter Gutmann:
  • Descripción general de la PKI
  • Notas de implementación y guía de estilo de X.509
• "Preguntas frecuentes sobre criptomonedas de RSA Labs". Laboratorios RSA. Archivado desde el original el 30 de diciembre de 2006.
• Pautas de código seguro Sun
• RFC 4158 - Infraestructura de clave pública de Internet X.509: creación de rutas de certificación
• RFC 5280 - Certificado de infraestructura de clave pública X.509 de Internet y perfil de lista de revocación de certificados (CRL)
• Decodificador de CSR y decodificador de certificados: se puede utilizar para decodificar y examinar un certificado o CSR codificado.
• phpseclib: Decodificador X.509: decodifica en una matriz asociativa cuyas claves corresponden a la descripción ASN.1 de X.509
• Comprensión de los certificados digitales Microsoft TechNet