X.509

Norma que define el formato de los certificados de clave pública

En criptografía , X.509 es un estándar de la Unión Internacional de Telecomunicaciones (UIT) que define el formato de los certificados de clave pública . ^[1] Los certificados X.509 se utilizan en muchos protocolos de Internet, incluido TLS/SSL , que es la base de HTTPS , ^[2] el protocolo seguro para navegar por la web . También se utilizan en aplicaciones fuera de línea, como las firmas electrónicas . ^[3]

Un certificado X.509 vincula una identidad a una clave pública mediante una firma digital. Un certificado contiene una identidad (un nombre de host, una organización o un individuo) y una clave pública ( RSA , DSA , ECDSA , ed25519 , etc.) y está firmado por una autoridad de certificación o es autofirmado. Cuando un certificado está firmado por una autoridad de certificación de confianza o validado por otros medios, alguien que posea ese certificado puede usar la clave pública que contiene para establecer comunicaciones seguras con otra parte o validar documentos firmados digitalmente por la clave privada correspondiente .

X.509 también define listas de revocación de certificados , que son un medio para distribuir información sobre los certificados que han sido considerados inválidos por una autoridad firmante, así como un algoritmo de validación de ruta de certificación , que permite que los certificados sean firmados por certificados de CA intermedios, que, a su vez, son firmados por otros certificados, llegando eventualmente a un ancla de confianza .

X.509 está definido por el "Sector de Normalización" de la UIT ( SG17 de la UIT-T ), en el Grupo de Estudio 17 de la UIT-T, y se basa en la Notación de Sintaxis Abstracta Uno (ASN.1), otra norma de la UIT-T.

Historia y uso

El estándar X.509 se publicó inicialmente el 3 de julio de 1988 y comenzó a aplicarse en asociación con el estándar X.500 . Sus primeras tareas fueron proporcionar a los usuarios un acceso seguro a los recursos de información y evitar un ataque criptográfico de intermediario . Supone un sistema jerárquico estricto de autoridades de certificación (CA) para emitir los certificados. Esto contrasta con los modelos de red de confianza , como PGP , donde cualquiera (no solo CA especiales) puede firmar y, por lo tanto, dar fe de la validez de los certificados clave de otros.

La versión 3 de X.509 incluye la flexibilidad para soportar otras topologías como puentes y mallas . ^[2] Puede usarse en una red de confianza de igual a igual, similar a OpenPGP , ^{[ cita requerida ]} pero rara vez se usó de esa manera a partir de 2004. ^[actualizar]El sistema X.500 solo ha sido implementado por naciones soberanas ^{[ ¿cuáles? ]} para fines de cumplimiento del tratado de intercambio de información de identidad estatal, y el grupo de trabajo de Infraestructura de clave pública (X.509) (PKIX) del IETF ha adaptado el estándar a la organización más flexible de Internet. De hecho, el término certificado X.509 generalmente se refiere al certificado PKIX del IETF y al perfil CRL del estándar de certificado X.509 v3, como se especifica en RFC  5280, comúnmente llamado PKIX para Infraestructura de clave pública (X.509) . ^[4]

Un problema inicial con la infraestructura de clave pública (PKI) y los certificados X.509 fue el conocido problema de "qué directorio". El problema es que el cliente no sabe dónde buscar los certificados intermedios que faltan porque el directorio X.500 global nunca se materializó. El problema se mitigó al incluir todos los certificados intermedios en una solicitud. Por ejemplo, los primeros servidores web solo enviaban el certificado del servidor web al cliente. Los clientes que carecían de un certificado de CA intermedio o de dónde encontrarlo no podían crear una ruta válida desde la CA hasta el certificado del servidor. Para solucionar el problema, los servidores web ahora envían todos los certificados intermedios junto con el certificado del servidor web. ^[5]

Aunque PKIX hace referencia al estándar PKI de la IETF o de Internet, existen muchas otras PKI con políticas diferentes. Por ejemplo, el gobierno de los EE. UU. tiene su propia PKI con sus propias políticas, y el CA/Browser Forum tiene su propia PKI con sus propias políticas. La PKI del gobierno de los EE. UU. es un libro enorme de más de 2500 páginas. Si la PKI de una organización difiere demasiado de la del IETF o del CA/Browser Forum, la organización corre el riesgo de perder la interoperabilidad con herramientas comunes como los navegadores web , cURL y Wget . Por ejemplo, si una PKI tiene una política de solo emitir certificados los lunes, las herramientas comunes como cURL y Wget no harán cumplir la política y permitirán la emisión de un certificado un martes. ^[5]

Certificados

Los certificados X.509 vinculan una identidad a una clave pública mediante una firma digital. En el sistema X.509, hay dos tipos de certificados. El primero es un certificado de CA. El segundo es un certificado de entidad final. Un certificado de CA puede emitir otros certificados. El certificado de CA autofirmado de nivel superior a veces se denomina certificado de CA raíz. Otros certificados de CA se denominan certificados de CA intermedios o subordinados. Un certificado de entidad final identifica al usuario, como una persona, una organización o una empresa. Un certificado de entidad final no puede emitir otros certificados. Un certificado de entidad final a veces se denomina certificado de hoja, ya que no se pueden emitir otros certificados por debajo de él.

Una organización que desea un certificado firmado lo solicita a una CA mediante un protocolo como Solicitud de firma de certificado (CSR) , Protocolo simple de inscripción de certificados (SCEP) o Protocolo de administración de certificados (CMP) . La organización primero genera un par de claves , mantiene en secreto la clave privada y la utiliza para firmar la CSR. La CSR contiene información que identifica al solicitante y la clave pública del solicitante que se utiliza para verificar la firma de la CSR, y el nombre distintivo (DN) que es exclusivo de la persona, organización o empresa. La CSR puede ir acompañada de otras credenciales o pruebas de identidad requeridas por la autoridad de certificación.

La CSR se validará mediante una autoridad de registro (RA) y, a continuación, la autoridad de certificación emitirá un certificado que vinculará una clave pública a un nombre distintivo en particular . Las funciones de autoridad de registro y autoridad de certificación suelen ser unidades de negocio independientes con funciones separadas para reducir el riesgo de fraude.

Los certificados raíz de confianza de una organización se pueden distribuir a todos los empleados para que puedan utilizar el sistema PKI de la empresa. Los navegadores como Internet Explorer , Firefox , Opera , Safari y Chrome vienen con un conjunto predeterminado de certificados raíz preinstalados, por lo que los certificados SSL de las principales autoridades de certificación funcionarán instantáneamente; en efecto, los desarrolladores de los navegadores determinan qué CA son terceros de confianza para los usuarios de los navegadores. Por ejemplo, Firefox proporciona un archivo CSV y/o HTML que contiene una lista de CA incluidas. ^[8]

X.509 y RFC  5280 también incluyen estándares para la implementación de listas de revocación de certificados (CRL). Otra forma aprobada por la IETF de comprobar la validez de un certificado es el Protocolo de estado de certificado en línea (OCSP). Firefox 3.0 habilitaba la comprobación de OCSP de forma predeterminada, al igual que las versiones de Windows, al menos desde Vista y posteriores. ^[9]

Estructura de un certificado

La estructura prevista por los estándares se expresa en un lenguaje formal, Abstract Syntax Notation One (ASN.1).

La estructura de un certificado digital X.509 v3 es la siguiente:

• Certificado
  • Número de versión
  • Número de serie
  • Identificación del algoritmo de firma
  • Nombre del emisor
  • Periodo de validez
    • No antes
    • No despues
  • Nombre del sujeto
  • Información de clave pública del sujeto
    • Algoritmo de clave pública
    • Clave pública del sujeto
  • Identificador único del emisor (opcional)
  • Identificador único del sujeto (opcional)
  • Extensiones (opcionales)
    • ...
• Algoritmo de firma de certificado
• Firma del certificado

El campo Extensiones, si está presente, es una secuencia de una o más extensiones de certificado. ^{[10] : §4.1.2.9: Extensiones} Cada extensión tiene su propio identificador único, expresado como identificador de objeto (OID) , que es un conjunto de valores, junto con una indicación crítica o no crítica. Un sistema que utiliza certificados debe rechazar el certificado si encuentra una extensión crítica que no reconoce, o una extensión crítica que contiene información que no puede procesar. Una extensión no crítica puede ignorarse si no se reconoce, pero debe procesarse si se reconoce. ^{[10] : §4.2: Extensiones de certificados}

La estructura de la versión 1 se proporciona en RFC  1422.

El formato interno de los identificadores únicos de emisor y sujeto especificados en X.520 El Directorio: recomendación de tipos de atributos seleccionados.

La UIT-T introdujo identificadores únicos de emisor y de sujeto en la versión 2 para permitir la reutilización del nombre del emisor o del sujeto después de un tiempo. Un ejemplo de reutilización será cuando una CA se declare en quiebra y su nombre se elimine de la lista pública del país. Después de un tiempo, otra CA con el mismo nombre puede registrarse, aunque no esté relacionada con la primera. Sin embargo, la IETF recomienda que no se reutilicen los nombres de emisor y de sujeto. Por lo tanto, la versión 2 no se ha implementado ampliamente en Internet. ^{[ cita requerida ]}

Las extensiones se introdujeron en la versión 3. Una CA puede usar extensiones para emitir un certificado solo para un propósito específico (por ejemplo, solo para firmar objetos digitales ).

En todas las versiones, el número de serie debe ser único para cada certificado emitido por una CA específica (como se menciona en RFC  5280).

Extensiones que informan sobre un uso específico de un certificado

RFC  5280 (y sus predecesores) define una serie de extensiones de certificado que indican cómo se debe utilizar el certificado. La mayoría de ellas son arcos del joint-iso-ccitt(2) ds(5) id-ce(29)OID. Algunas de las más comunes, definidas en la sección 4.2.1, son:

• Restricciones básicas { id-ce 19 }, ^{[10] : §4.2.1.9} se utilizan para indicar si el certificado es un certificado de CA y puede certificar o emitir otros certificados. Una restricción se puede marcar como crítica. Si una restricción se marca como crítica, entonces un agente debe dejar de procesar el certificado si el agente no comprende la restricción. Un agente puede continuar procesando una restricción no crítica que no comprende.
• Uso de la clave, { id-ce 15 }, ^{[10] : §4.2.1.3} proporciona un mapa de bits que especifica las operaciones criptográficas que se pueden realizar utilizando la clave pública contenida en el certificado; por ejemplo, podría indicar que la clave debe usarse para firmas pero no para cifrado.
• Uso extendido de la clave, { id-ce 37 }, ^{[10] : §4.2.1.12} se utiliza, normalmente en un certificado de hoja, para indicar el propósito de la clave pública contenida en el certificado. Contiene una lista de OID, cada uno de los cuales indica un uso permitido. Por ejemplo, { id-pkix 3 1 }indica que la clave se puede utilizar en el extremo del servidor de una conexión TLS o SSL; { id-pkix 3 4 }indica que la clave se puede utilizar para proteger el correo electrónico.

En general, cuando se utiliza RFC  5280, si un certificado tiene varias extensiones que restringen su uso, se deben cumplir todas las restricciones para que un uso determinado sea apropiado. La RFC ofrece el ejemplo específico de un certificado que contiene keyUsage y extendedKeyUsage: en este caso, se deben procesar ambas y el certificado solo se puede utilizar si ambas extensiones son coherentes al especificar el uso de un certificado. Por ejemplo, NSS utiliza ambas extensiones para especificar el uso del certificado. ^[11]

Certificados de validación extendida

Las autoridades de certificación que operan bajo la PKI del CA/Browser Forum emiten certificados con distintos niveles de validación. Las diferentes validaciones proporcionan distintos niveles de garantía de que un certificado representa lo que se supone que debe representar. Por ejemplo, un servidor web puede validarse en el nivel más bajo de garantías utilizando un correo electrónico llamado Validación de dominio (DV) . O un servidor web puede validarse en un nivel más alto de garantías utilizando métodos más detallados llamados Validación extendida (EV) .

En la práctica, un certificado DV significa que se emitió un certificado para un dominio como example.comdespués de que alguien respondió a un correo electrónico enviado a [email protected]. Un certificado EV significa que se emitió un certificado para un dominio como example.com, y una empresa como Example, LLC es la propietaria del dominio, y el propietario fue verificado por los Artículos de Incorporación .

La validación extendida no agrega ningún control de seguridad adicional, por lo que la configuración de un canal seguro que utiliza un certificado EV no es "más fuerte" que una configuración de canal que utiliza un nivel diferente de validación como DV.

La validación extendida se indica en un certificado mediante la extensión X.509 v3. Cada CA utiliza un identificador de objeto (OID) diferente para confirmar la validación extendida. No existe un único OID que indique la validación extendida, lo que complica la programación del agente de usuario. Cada agente de usuario debe tener una lista de OID que indiquen la validación extendida.

La PKI del CA/Browser Forum reconoce la validación extendida y muchos navegadores proporcionan una respuesta visual al usuario para indicar que un sitio proporciona un certificado EV. Otras PKI, como la PKI de Internet (PKIX), no hacen ningún énfasis especial en la validación extendida. Las herramientas que utilizan políticas PKIX, como cURL y Wget, simplemente tratan un certificado EV como cualquier otro certificado.

El experto en seguridad Peter Gutmann afirma que las CA crearon certificados EV para restablecer los niveles de ganancias después de que la carrera hacia el abismo redujera las ganancias. Durante la carrera hacia el abismo, las CA redujeron los precios para atraer a los consumidores a comprar sus certificados. Como resultado, las ganancias se redujeron y las CA disminuyeron el nivel de validación que realizaban hasta el punto de que casi no había garantías en un certificado. ^[5]

Extensiones de nombre de archivo de certificado

Existen varias extensiones de nombre de archivo de uso común para los certificados X.509. Algunas de estas extensiones también se utilizan para otros datos, como las claves privadas.

• .pem– ( Correo electrónico con privacidad mejorada ) Certificado DER codificado en Base64 , adjunto entre y-----BEGIN CERTIFICATE----------END CERTIFICATE-----
• .cer, .crt, .der– generalmente en formato DER binario , pero los certificados codificados en Base64 también son comunes (ver .pemarriba)
• .p8, .p8e, .pk8– clave privada exportada como se especifica en PKCS#8 . Puede estar en formato DER o PEM que comienza con -----BEGIN PRIVATE KEY-----. La clave cifrada comienza con -----BEGIN ENCRYPTED PRIVATE KEY-----y puede tener la .p8eextensión .
• .p10, .csr– PKCS#10 una solicitud de firma de certificado (CSR). En formato PEM comienza con -----BEGIN CERTIFICATE REQUEST-----. Se generan para su envío a las autoridades de certificación (CA). Incluye detalles clave del certificado solicitado, como el nombre común (/CN), el sujeto, la organización, el estado, el país, así como la clave pública del certificado que se va a firmar. Estos son firmados por la CA y se devuelve un certificado. El certificado devuelto es el certificado público (que incluye la clave pública pero no la clave privada), que puede estar en un par de formatos, pero normalmente en .p7r. ^[12]
• .p7r– Respuesta PKCS#7 a la CSR. Contiene el certificado recién firmado y el certificado propio de la CA.
• .p7s– Firma digital PKCS#7 . Puede contener el archivo o mensaje original firmado. Se utiliza en S/MIME para la firma de correo electrónico. Se define en RFC 2311.
• .p7m– PKCS#7 (SignedData, EnvelopedData) Mensaje, por ejemplo, archivo cifrado ("envuelto"), mensaje o carta de correo electrónico MIME. Definido en RFC 2311.
• .p7c– PKCS#7 degeneró la estructura SignedData "solo para certificados", sin ningún dato para firmar. Definido en RFC 2311.
• .p7b, .keystore– Estructura PKCS#7 SignedData sin datos, solo un paquete de certificados y/o CRL (raramente), pero no una clave privada. Utiliza el formato DER o BER o PEM que comienza con -----BEGIN PKCS7-----. El formato que utiliza Windows para el intercambio de certificados. Es compatible con Java, pero a menudo se incluye .keystorecomo extensión. A diferencia de .pemlos certificados de estilo, este formato tiene una forma definida de incluir certificados de ruta de certificación.
• .p12, .pfx, .pkcs12– PKCS#12 , puede contener certificados (públicos) y claves privadas (protegidas con contraseña) en un solo archivo. .pfx– Personal Information eXchange PFX, predecesor de PKCS#12 (normalmente contiene datos en formato PKCS#12, por ejemplo, con archivos PFX generados en IIS ).
• .crl– Una lista de revocación de certificados (CRL). Las autoridades de certificación las elaboran como una forma de desautorizar certificados antes de su vencimiento.

PKCS#7 es un estándar para firmar o cifrar (oficialmente llamado "enveloping") datos. Dado que el certificado es necesario para verificar los datos firmados, es posible incluirlos en la estructura SignedData.

Cadenas de certificados y certificación cruzada

Una cadena de certificados (consulte el concepto equivalente de "ruta de certificación" definido en la sección 3.2 del RFC  5280) es una lista de certificados (que generalmente comienza con un certificado de entidad final) seguido de uno o más certificados de CA (generalmente el último es un certificado autofirmado), con las siguientes propiedades:

1. El emisor de cada certificado (excepto el último) coincide con el sujeto del siguiente certificado en la lista
2. Cada certificado (excepto el último) está firmado por la clave secreta correspondiente al siguiente certificado de la cadena (es decir, la firma de un certificado se puede verificar utilizando la clave pública contenida en el siguiente certificado)
3. El último certificado de la lista es un ancla de confianza : un certificado en el que usted confía porque le fue entregado mediante algún procedimiento confiable.

Las cadenas de certificados se utilizan para comprobar que la clave pública (PK) contenida en un certificado de destino (el primer certificado de la cadena) y otros datos contenidos en él pertenecen efectivamente a su titular. Para comprobarlo, la firma del certificado de destino se verifica utilizando la PK contenida en el siguiente certificado, cuya firma se verifica utilizando el siguiente certificado, y así sucesivamente hasta llegar al último certificado de la cadena. Como el último certificado es un ancla de confianza, alcanzarlo con éxito demostrará que se puede confiar en el certificado de destino.

La descripción del párrafo anterior es una vista simplificada del proceso de validación de la ruta de certificación según se define en la sección 6 del RFC  5280, que implica verificaciones adicionales, como verificar las fechas de validez de los certificados, buscar CRL , etc.

Ejemplo 1: Certificación cruzada entre dos PKI

Ejemplo 2: Renovación de certificado de CA

Al examinar cómo se construyen y validan las cadenas de certificados, es importante tener en cuenta que un certificado concreto puede formar parte de cadenas de certificados muy diferentes (todas ellas válidas). Esto se debe a que se pueden generar varios certificados de CA para el mismo sujeto y clave pública, pero estar firmados con claves privadas diferentes (de diferentes CA o claves privadas diferentes de la misma CA). Por lo tanto, aunque un único certificado X.509 puede tener solo un emisor y una firma de CA, se puede vincular de forma válida a más de un certificado, lo que genera cadenas de certificados completamente diferentes. Esto es crucial para la certificación cruzada entre PKI y otras aplicaciones. ^[13] Véanse los siguientes ejemplos:

Ejemplos

En estos diagramas:

• Cada casilla representa un certificado, con su Asunto en negrita.
• A → B significa "A está firmado por B" (o, más precisamente, "A está firmado por la clave secreta correspondiente a la clave pública contenida en B").
• Los certificados con el mismo color (que no sean blancos/transparentes) contienen la misma clave pública

Ejemplo 1: Certificación cruzada a nivel de autoridad de certificación (CA) raíz entre dos PKI

Para gestionar que los certificados de usuario existentes en PKI 2 (como "Usuario 2") sean confiables para PKI 1, CA1 genera un certificado (cert2.1) que contiene la clave pública de CA2. ^[14] Ahora tanto "cert2 como cert2.1 (en verde) tienen el mismo sujeto y clave pública, por lo que hay dos cadenas válidas para cert2.2 (Usuario 2): "cert2.2 → cert2" y "cert2.2 → cert2.1 → cert1".

De manera similar, CA2 puede generar un certificado (cert1.1) que contenga la clave pública de CA1 para que los certificados de usuario existentes en PKI 1 (como "Usuario 1") sean confiables para PKI 2.

Ejemplo 2: Renovación de certificado de CA

Comprensión de la construcción de rutas de certificación (PDF) . Foro PKI. Septiembre de 2002. Para permitir una transición sin problemas del par de claves de firma anterior al nuevo par de claves de firma, la CA debe emitir un certificado que contenga la clave pública anterior firmada por la nueva clave de firma privada y un certificado que contenga la nueva clave pública firmada por la clave de firma privada anterior. Ambos certificados son autoemitidos, pero ninguno es autofirmado . Tenga en cuenta que estos son adicionales a los dos certificados autofirmados (uno anterior y uno nuevo).

Dado que tanto cert1 como cert3 contienen la misma clave pública (la antigua), existen dos cadenas de certificados válidas para cert5: "cert5 → cert1" y "cert5 → cert3 → cert2", y análogamente para cert6. Esto permite que los certificados de usuario antiguos (como cert5) y los nuevos (como cert6) puedan ser confiables indistintamente por una parte que tenga el nuevo certificado de CA raíz o el antiguo como ancla de confianza durante la transición a las nuevas claves de CA. ^[15]

Ejemplos de certificados X.509

Este es un ejemplo de un certificado X.509 decodificado que fue utilizado en el pasado por wikipedia.org y otros sitios web de Wikipedia. Fue emitido por GlobalSign , como se indica en el campo Emisor. Su campo Asunto describe a Wikipedia como una organización, y su campo Nombre alternativo del sujeto (SAN) para DNS describe los nombres de host para los que podría usarse. El campo Información de clave pública del sujeto contiene una clave pública ECDSA , mientras que la firma en la parte inferior fue generada por la clave privada RSA de GlobalSign . (Las firmas en estos ejemplos están truncadas).

Certificado de entidad final

Certificado: Datos: Versión: 3 (0x2) Número de serie: 10:e6:fc:62:b7:41:8a:d5:00:5e:45:b6 Algoritmo de firma: sha256WithRSAEncryption Emisor: C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organización Validación CA - SHA256 - G2 Validez No antes: 21 de noviembre de 2016, 08:00:00 GMT No después de: 22 de noviembre de 2017, 07:59:59 GMT Sujeto: C=EE.UU., ST=California, L=San Francisco, O=Wikimedia Foundation, Inc., CN=*.wikipedia.org Información de clave pública del sujeto: Algoritmo de clave pública: id-ecPublicKey Clave pública: (256 bit) pub: 00:c9:22:69:31:8a:d6:6c:ea:da:c3:7f:2c:ac:a5: af:c0:02:ea:81:cb:65:b9:fd:0c:6d:46:5b:c9:1e: 9d:3b:ef Identificador de origen ASN1: prime256v1 CURVA NIST: P-256 Extensiones X509v3: Uso de la clave X509v3: crítico Firma digital, acuerdo de clave Acceso a la información de la autoridad: Emisores de CA - URI: http://secure.globalsign.com/cacert/gsorganizationvalsha2g2r1.crt OCSP - URI: http://ocsp2.globalsign.com/gsorganizationvalsha2g2 Políticas de certificación X509v3: Política: 1.3.6.1.4.1.4146.1.20 Página de inicio: https://www.globalsign.com/repository/ Política: 2.23.140.1.2.2 Restricciones básicas de X509v3: CA:FALSO Puntos de distribución de CRL X509v3: Nombre completo: Dirección URL: http://crl.globalsign.com/gs/gsorganizationvalsha2g2.crl X509v3 Nombre alternativo del sujeto: DNS:*.wikipedia.org, DNS:*.m.mediawiki.org, DNS:*.m.wikibooks.org, DNS:*.m.wikidata.org, DNS:*.m.wikimedia.org, DNS: *.m.wikimediafoundation.org, DNS:*.m.wikinews.org, DNS:*.m.wikipedia.org, DNS:*.m.wikiquote.org, DNS:*.m.wikisource.org, DNS: *.m.wikiversity.org, DNS:*.m.wikivoyage.org, DNS:*.m.wiktionary.org, DNS:*.mediawiki.org, DNS:*.planet.wikimedia.org, DNS:*. wikibooks.org, DNS:*.wikidata.org, DNS:*.wikimedia.org, DNS:*.wikimediafoundation.org, DNS:*.wikinews.org, DNS:*.wikiquote.org, DNS:*.wikisource. organización, DNS:*.wikiversity.org, DNS:*.wikivoyage.org, DNS:*.wiktionary.org, DNS:*.wmfusercontent.org, DNS:*.zero.wikipedia.org, DNS:mediawiki.org, DNS: w.wiki, DNS:wikibooks.org, DNS:wikidata.org, DNS:wikimedia.org, DNS:wikimediafoundation.org, DNS:wikinews.org, DNS:wikiquote.org, DNS:wikisource.org, DNS:wikiversity. org, DNS:wikivoyage.org, DNS:wiktionary.org, DNS:wmfusercontent.org, DNS:wikipedia.org Uso extendido de la clave X509v3: Autenticación de servidor web TLS, autenticación de cliente web TLS Identificador de clave de sujeto X509v3: 28:2A:26:2A:57:8B:3B:CE:B4:D6:AB:54:EF:D7:38:21:2C:49:5C:36 Identificador de clave de autoridad X509v3: id de clave:96:DE:61:F1:BD:1C:16:29:53:1C:C0:CC:7D:3B:83:00:40:E6:1A:7C

 Algoritmo de firma: sha256WithRSAEncryption 8b:c3:ed:d1:9d:39:6f:af:40:72:bd:1e:18:5e:30:54:23:35: ...

Para validar este certificado de entidad final, se necesita un certificado intermedio que coincida con su emisor y su identificador de clave de autoridad:

En una conexión TLS, un servidor configurado correctamente proporcionaría el certificado intermedio como parte del protocolo de enlace. Sin embargo, también es posible recuperar el certificado intermedio obteniendo la URL de "Emisores de CA" del certificado de la entidad final.

Certificado intermedio

Este es un ejemplo de un certificado intermedio que pertenece a una autoridad de certificación . Este certificado firmó el certificado de entidad final anterior y fue firmado por el certificado raíz siguiente. Tenga en cuenta que el campo de asunto de este certificado intermedio coincide con el campo de emisor del certificado de entidad final que firmó. Además, el campo "identificador de clave de sujeto" en el intermedio coincide con el campo "identificador de clave de autoridad" en el certificado de entidad final.

Certificado: Datos: Versión: 3 (0x2) Número de serie: 04:00:00:00:00:01:44:4e:f0:42:47 Algoritmo de firma: sha256WithRSAEncryption Emisor: C=BE, O=GlobalSign nv-sa, OU=CA raíz, CN=CA raíz de GlobalSign Validez No antes: 20 de febrero de 2014, 10:00:00 GMT No después de: 20 de febrero de 2024, 10:00:00 GMT Asunto: C=BE, O=GlobalSign nv-sa, CN=GlobalSign CA de validación de organización - SHA256 - G2 Información de clave pública del sujeto: Algoritmo de clave pública: rsaEncryption Clave pública: (2048 bit) Módulo: 00:c7:0e:6c:3f:23:93:7f:cc:70:a5:9d:20:c3:0e: ... Exponente: 65537 (0x10001) Extensiones X509v3: Uso de la clave X509v3: crítico Letrero de certificado, letrero CRL Restricciones básicas de X509v3: críticas CA:TRUE, longitud de ruta:0 Identificador de clave de sujeto X509v3: 96:DE:61:F1:BD:1C:16:29:53:1C:C0:CC:7D:3B:83:00:40:E6:1A:7C Políticas de certificación X509v3: Política: X509v3 Cualquier política Página de inicio: https://www.globalsign.com/repository/ Puntos de distribución de CRL X509v3: Nombre completo: Dirección URL: http://crl.globalsign.net/root.crl Acceso a la información de la autoridad: OCSP - URI: http://ocsp.globalsign.com/rootr1 Identificador de clave de autoridad X509v3: id de clave:60:7B:66:1A:45:0D:97:CA:89:50:2F:7D:04:CD:34:A8:FF:FC:FD:4B Algoritmo de firma: sha256WithRSAEncryption 46:2a:ee:5e:bd:ae:01:60:37:31:11:86:71:74:b6:46:49:c8: ...

Certificado raíz

Este es un ejemplo de un certificado raíz autofirmado que representa una autoridad de certificación . Sus campos de emisor y de sujeto son los mismos, y su firma se puede validar con su propia clave pública. La validación de la cadena de confianza debe terminar aquí. Si el programa de validación tiene este certificado raíz en su almacén de confianza, el certificado de entidad final se puede considerar confiable para su uso en una conexión TLS. De lo contrario, el certificado de entidad final se considera no confiable.

Certificado: [16] Datos: Versión: 3 (0x2) Número de serie: 04:00:00:00:00:01:15:4b:5a:c3:94 Algoritmo de firma: sha1WithRSAEncryption Emisor: C=BE, O=GlobalSign nv-sa, OU=CA raíz, CN=CA raíz de GlobalSign Validez No antes: 1 de septiembre 12:00:00 1998 GMT No después del 28 de enero de 2028, 12:00:00 GMT Asunto: C=BE, O=GlobalSign nv-sa, OU=CA raíz, CN=CA raíz de GlobalSign Información de clave pública del sujeto: Algoritmo de clave pública: rsaEncryption Clave pública: (2048 bit) Módulo: 00:da:0e:e6:99:8d:ce:a3:e3:4f:8a:7e:fb:f1:8b: ... Exponente: 65537 (0x10001) Extensiones X509v3: Uso de la clave X509v3: crítico Letrero de certificado, letrero CRL Restricciones básicas de X509v3: críticas CA:VERDADERO Identificador de clave de sujeto X509v3: 60:7B:66:1A:45:0D:97:CA:89:50:2F:7D:04:CD:34:A8:FF:FC:FD:4B Algoritmo de firma: sha1WithRSAEncryption d6:73:e7:7c:4f:76:d0:8d:bf:ec:ba:a2:be:34:c5:28:32:b5: ...

Seguridad

Hay varias publicaciones sobre los problemas de PKI realizadas por Bruce Schneier , Peter Gutmann y otros expertos en seguridad. ^{[17] [18] [19]}

Debilidades arquitectónicas

• Uso de listas de bloqueo de certificados no válidos (mediante CRL y OCSP ),
  • Si el cliente sólo confía en los certificados cuando las listas de revocación de certificados (CRL) están disponibles, entonces pierde la capacidad offline que hace atractiva a la PKI. Por lo tanto, la mayoría de los clientes confían en los certificados cuando las CRL no están disponibles, pero en ese caso un atacante que controle el canal de comunicación puede desactivar las CRL. Adam Langley de Google ha dicho que las comprobaciones de CRL de errores leves son como un cinturón de seguridad que funciona excepto cuando tienes un accidente. ^[20]
• Los CRL son notablemente una mala elección debido a sus grandes tamaños y patrones de distribución complicados.
• Semántica OCSP ambigua y falta de estado de revocación histórico,
• No se aborda la revocación de certificados raíz,
• Problema de agregación : las solicitudes de identidad (autenticación con un identificador), las solicitudes de atributos (envío de un conjunto de atributos verificados) y las solicitudes de políticas se combinan en un único contenedor. Esto plantea problemas de privacidad, mapeo de políticas y mantenimiento. ^{[ Se necesita aclaración ]}
• Problema de delegación : las CA no pueden técnicamente restringir que las CA subordinadas emitan certificados fuera de un espacio de nombres o conjunto de atributos limitados; esta característica de X.509 no se utiliza. Por lo tanto, existe una gran cantidad de CA en Internet, y clasificarlas y clasificar sus políticas es una tarea insuperable. La delegación de autoridad dentro de una organización no se puede manejar en absoluto, como en la práctica comercial común. ^{[21] [ verificación fallida ]}
• Problema de federación : las cadenas de certificados que son el resultado de las CA subordinadas, las CA puente y la firma cruzada hacen que la validación sea compleja y costosa en términos de tiempo de procesamiento. La semántica de validación de rutas puede ser ambigua. La jerarquía con una entidad de confianza externa es el único modelo. Esto es un inconveniente cuando ya existe una relación de confianza bilateral.
• La emisión de un certificado de validación extendida (EV) para un nombre de host no impide la emisión de un certificado de validación inferior válido para el mismo nombre de host, lo que significa que el nivel de validación más alto de EV no protege contra ataques de intermediario. ^[22]

Problemas con las autoridades de certificación

• La persona u organización que compra un certificado a menudo utilizará la autoridad de certificación más barata. En respuesta, las CA han reducido los precios y eliminado los controles de validación más costosos en lo que se conoce como una carrera hacia el fondo . La carrera hacia el fondo se aborda en parte con los certificados de Validación Extendida (EV) , pero el valor de la confianza a los ojos de los expertos en seguridad está disminuyendo. ^[23] Según Peter Gutmann , los certificados EV no agregan ningún control de seguridad adicional. Más bien, los certificados EV simplemente restauran las ganancias de las CA a los niveles anteriores a la carrera hacia el fondo al permitir que una CA cobre más por un servicio que debería haber estado brindando desde el principio. ^[5]
• Las autoridades de certificación intentan negar casi todas las garantías al usuario y a las partes que confían en su Declaración de Prácticas de Certificación (CPS) . Por ejemplo, Apple Inc. establece en su CPS: "En la medida en que lo permita la ley aplicable, los acuerdos de suscripción, si corresponde, renuncian a las garantías de Apple, incluida cualquier garantía de comerciabilidad o idoneidad para un propósito particular". ^[24]
• Según Peter Gutmann, "Los usuarios utilizan un protocolo de solicitud de certificación no definido para obtener un certificado que se publica en una ubicación poco clara en un directorio inexistente sin medios reales para revocarlo" ^[19]
• Al igual que todas las empresas, las CA están sujetas a las jurisdicciones legales en las que operan y pueden verse obligadas legalmente a comprometer los intereses de sus clientes y usuarios. Las agencias de inteligencia también han hecho uso de certificados falsos emitidos mediante la vulneración extralegal de las CA, como DigiNotar , para llevar a cabo ataques de intermediarios . ^{[ cita requerida ]} Otro ejemplo es una solicitud de revocación de la CA del gobierno holandés, debido a una ley holandesa aprobada en 2018, que otorga nuevos poderes a los servicios de inteligencia y seguridad holandeses ^[25]

Problemas de implementación

Las implementaciones sufren fallas de diseño, errores, diferentes interpretaciones de estándares y falta de interoperabilidad entre diferentes estándares. Algunos problemas son:

• Muchas implementaciones desactivan la comprobación de revocación:
  • Consideradas como obstáculos, las políticas no se aplican
  • Si estuviera activado en todos los navegadores de forma predeterminada, incluida la firma de código, probablemente bloquearía la infraestructura.
• Los DN son complejos y poco comprendidos (falta de canonización, problemas de internacionalización)
• rfc822Name tiene dos notaciones
• Las restricciones de nombre y políticas apenas se admiten
• Se ignora el uso de la clave, se utiliza el primer certificado de una lista
• La aplicación de OID personalizados es difícil
• Los atributos no deben hacerse críticos porque hacen que los clientes se bloqueen.
• La longitud no especificada de los atributos genera límites específicos del producto
• Existen errores de implementación con X.509 que permiten, por ejemplo, nombres de sujetos falsificados utilizando cadenas terminadas en nulo ^[26] o ataques de inyección de código en certificados.
• Mediante el uso de subidentificadores de identificadores de objetos con relleno 0x80 ilegales ^[27] , implementaciones incorrectas o mediante el uso de desbordamientos de números enteros de los navegadores del cliente, un atacante puede incluir un atributo desconocido en el CSR, que la CA firmará, que el cliente interpreta erróneamente como "CN" (OID=2.5.4.3). Dan Kaminsky demostró esto en el 26º Congreso de Comunicación del Caos "Black OPs of PKI" ^[28]

Debilidades criptográficas

Los sistemas de firma digital dependen de funciones hash criptográficas seguras para funcionar. Cuando una infraestructura de clave pública permite el uso de una función hash que ya no es segura, un atacante puede explotar las debilidades de la función hash para falsificar certificados. En concreto, si un atacante es capaz de producir una colisión de hash , puede convencer a una CA de que firme un certificado con contenido inocuo, donde el hash de ese contenido es idéntico al hash de otro conjunto malicioso de contenidos de certificado, creado por el atacante con valores de su elección. El atacante puede entonces añadir la firma proporcionada por la CA al contenido de su certificado malicioso, lo que da como resultado un certificado malicioso que parece estar firmado por la CA. Debido a que el contenido del certificado malicioso es elegido únicamente por el atacante, puede tener fechas de validez o nombres de host diferentes a los del certificado inocuo. El certificado malicioso puede incluso contener un campo "CA: true" que le permite emitir más certificados de confianza.

• Los certificados basados ​​en MD2 se utilizaron durante mucho tiempo y eran vulnerables a ataques de preimagen . Dado que el certificado raíz ya tenía una firma propia, los atacantes podían usar esta firma y utilizarla para un certificado intermedio.
• En 2005, Arjen Lenstra y Benne de Weger demostraron "cómo utilizar colisiones hash para construir dos certificados X.509 que contienen firmas idénticas y que difieren solo en las claves públicas", logrado mediante un ataque de colisión en la función hash MD5 . ^[29]
• En 2008, Alexander Sotirov y Marc Stevens presentaron en el Chaos Communication Congress un ataque práctico que les permitió crear una autoridad de certificación fraudulenta, aceptada por todos los navegadores comunes, explotando el hecho de que RapidSSL todavía estaba emitiendo certificados X.509 basados ​​en MD5. ^[30]
• En abril de 2009, en la Conferencia Eurocrypt, ^[31] investigadores australianos de la Universidad Macquarie presentaron "Búsqueda automática de rutas diferenciales para SHA-1 ". ^[32] Los investigadores pudieron deducir un método que aumenta la probabilidad de una colisión en varios órdenes de magnitud. ^[33]
• En febrero de 2017, un grupo de investigadores dirigido por Marc Stevens produjo una colisión SHA-1, demostrando la debilidad de SHA-1. ^[34]

Mitigaciones para debilidades criptográficas

Para aprovechar una colisión de hash con el fin de falsificar firmas X.509, el atacante debe ser capaz de predecir los datos que firmará la autoridad de certificación. Esto se puede mitigar en cierta medida si la autoridad de certificación genera un componente aleatorio en los certificados que firma, normalmente el número de serie. El CA/Browser Forum exige la entropía del número de serie en su sección 7.1 de Requisitos básicos desde 2011. ^[35]

A partir del 1 de enero de 2016 ^[actualizar], los requisitos básicos prohíben la emisión de certificados que utilicen SHA-1. A principios de 2017 ^[actualizar], Chrome ^[36] y Firefox ^[37] rechazan los certificados que utilizan SHA-1. A partir de mayo de 2017, ^[actualizar]tanto Edge ^[38] como Safari ^[39] también rechazan los certificados SHA-1. Los validadores X.509 que no son de navegador todavía no rechazan los certificados SHA-1. ^[40]

Estándares PKI para X.509

• PKCS7 (Estándar de sintaxis de mensajes criptográficos: claves públicas con prueba de identidad para mensajes firmados y/o cifrados para PKI) ^[41]
• Seguridad de la capa de transporte (TLS) y su predecesor SSL: protocolos criptográficos para comunicaciones seguras en Internet. ^[42]
• Protocolo de estado de certificado en línea (OCSP) ^[43] / lista de revocación de certificados (CRL) ^[10]  : esto es para verificar el estado de revocación del certificado
• PKCS12 (Estándar de sintaxis de intercambio de información personal): se utiliza para almacenar una clave privada con el certificado de clave pública apropiado ^[44]
• RFC  4158 — Creación de rutas de certificación: orientación y recomendaciones para crear rutas de certificación de clave pública X.509 dentro de las aplicaciones (es decir, validar un certificado de entidad final utilizando un certificado de CA)

Grupo de trabajo PKIX

En 1995, el Grupo de Trabajo de Ingeniería de Internet , en colaboración con el Instituto Nacional de Estándares y Tecnología ^[45], formó el grupo de trabajo de Infraestructura de Clave Pública (X.509). El grupo de trabajo, que concluyó sus actividades en junio de 2014, ^[46] se conoce comúnmente como "PKIX". Produjo RFC y otra documentación de estándares sobre el uso y la implementación de X.509 en la práctica. En particular, produjo RFC  3280 y su sucesor RFC 5280, que definen cómo utilizar X.509 en los protocolos de Internet.

Principales protocolos y estándares que utilizan certificados X.509

TLS/SSL y HTTPS utilizan el perfil RFC  5280 de X.509, al igual que S/MIME (Secure Multipurpose Internet Mail Extensions) y el método EAP-TLS para la autenticación WiFi. Cualquier protocolo que utilice TLS, como SMTP, POP, IMAP, LDAP, XMPP y muchos más, utiliza inherentemente X.509.

IPsec puede utilizar el perfil RFC  4945 para autenticar pares.

La especificación de seguridad de OpenCable define su propio perfil de X.509 para su uso en la industria del cable.

Los dispositivos como las tarjetas inteligentes y los módulos de protección de terminales suelen llevar certificados para identificarse a sí mismos o a sus propietarios. Estos certificados están en formato X.509.

El estándar WS-Security define la autenticación a través de TLS o a través de su propio perfil de certificado. ^[16] Ambos métodos utilizan X.509.

El sistema de firma de código Microsoft Authenticode utiliza X.509 para identificar a los autores de programas informáticos.

El estándar de comunicación de automatización industrial OPC UA utiliza X.509.

SSH generalmente utiliza un modelo de seguridad de confianza al primer uso y no necesita certificados. Sin embargo, la popular implementación de OpenSSH sí admite un modelo de identidad firmado por una CA basado en su propio formato de certificado distinto de X.509. ^[47]

Véase también

• Notación de sintaxis abstracta uno
• Política de certificación
• Seguridad de acceso al código
• Seguridad de las comunicaciones
• Seguridad de la información
• Comité Técnico Mixto ISO/IEC 1
• Protocolo de consulta de recursos PKI
• Criptografía de clave pública
• Infraestructura de clave pública
• Protocolo de marca de tiempo
• Sellado de tiempo confiable
• Educación DSA

Referencias

1. "X.509: Tecnología de la información - Interconexión de sistemas abiertos - El directorio: Marcos de certificados de clave pública y de atributos". UIT . Consultado el 6 de noviembre de 2019 .
2. Hesse, Peter; Cooper, Matt; Dzambasow, Yuriy A.; Joseph, Susan; Nicholas, Richard (septiembre de 2005). Infraestructura de clave pública de Internet X.509: creación de rutas de certificación. Grupo de trabajo de redes. doi : 10.17487/RFC4158 . RFC 4158. Informativo.
3. "Errores monumentales en materia de ciberseguridad". circleid.com . Consultado el 3 de septiembre de 2022 .
4. Cooper, D.; Santesson, S.; Farrell, S.; Boeyen, S.; Housley, R.; Polk, W. (mayo de 2008). Perfil de certificado de infraestructura de clave pública X.509 de Internet y lista de revocación de certificados (CRL). doi : 10.17487/RFC5280 . RFC 5280. Norma propuesta. Actualizada por RFC 9549, 9598, 8398, 8399 y 6818. Deja obsoletas las RFC 4630, 4325 y 3280. A continuación se presenta una vista simplificada del modelo arquitectónico asumido por las especificaciones de infraestructura de clave pública que utilizan X.509 (PKIX).
5. Gutmann, Peter (abril de 2014). "Ingeniería de seguridad" (PDF) .
6. Housley, R.; Hoffman, P. (mayo de 1999). Protocolos operativos de infraestructura de clave pública Internet X.509: FTP y HTTP. Grupo de trabajo de redes. doi : 10.17487/RFC2585 . RFC 2585. Norma propuesta. Sección 4: Registros MIME.
7. "x509Certificate". Documentación para desarrolladores de Apple: Identificadores de tipo uniforme . Apple Inc .
8. "CA:IncludedCAs". Wiki de Mozilla . Consultado el 17 de enero de 2017 .
9. "Error 110161 - (ocspdefault) habilitar OCSP de forma predeterminada". Mozilla . Consultado el 17 de marzo de 2016 .
10. Cooper, D.; Santesson, S.; Farrell, S.; Boeyen, S.; Housley, R.; Polk, W. (mayo de 2008). Perfil de certificado de infraestructura de clave pública X.509 de Internet y lista de revocación de certificados (CRL). doi : 10.17487/RFC5280 . RFC 5280. Norma propuesta. Actualizada por RFC 9549, 9598, 8398, 8399 y 6818. Deja obsoletas las RFC 4630, 4325 y 3280.
11. Nelson B Boyard (9 de mayo de 2002). «Todo sobre las extensiones de certificado». Mozilla . Consultado el 10 de septiembre de 2020 .
12. sysadmin1138 (19 de mayo de 2009). "¿Qué es un archivo Pem y en qué se diferencia de otros formatos de archivos de claves generadas por OpenSSL?". Server Fault . Consultado el 19 de octubre de 2023 .{{cite web}}: CS1 maint: nombres numéricos: lista de autores ( enlace )  Este artículo incorpora texto de esta fuente, que está disponible bajo la licencia CC BY-SA 2.5.
13. Lloyd, Steve (septiembre de 2002). Comprensión de la construcción de rutas de certificación (PDF) . Foro PKI.
14. "Certificación cruzada entre CA raíz". Escenarios de implementación de subordinación calificada. Microsoft. Agosto de 2009.
15. Nash; Duane; Joseph; Brink (2001). "Ciclos de vida de claves y certificados. Renovación de certificados de CA". PKI: Implementación y gestión de seguridad electrónica . RSA Press - Osborne/McGraw-Hill. ISBN 0-07-213123-3.
16. "Web Services Security X.509 Token Profile Version 1.1.1". Oasis . Consultado el 14 de marzo de 2017 .
17. Carl Ellison y Bruce Schneier. "Los 10 principales riesgos de PKI" (PDF) . Revista de seguridad informática (volumen XVI, número 1, 2000).
18. Peter Gutmann . "PKI: no está muerta, sólo descansando" (PDF) . IEEE Computer (volumen: 35, número: 8).
19. Gutmann, Peter . "Todo lo que nunca quiso saber sobre PKI pero se vio obligado a descubrir" (PDF) . Consultado el 14 de noviembre de 2011 .
20. Langley, Adam (5 de febrero de 2012). "Comprobación de revocación y CRL de Chrome". Imperial Violet . Consultado el 2 de febrero de 2017 .
21. "Ejemplo de plan de negocios de sistemas de seguridad [2021]". OGScapital . 2014-01-27 . Consultado el 2021-06-30 .
22. Michael Zusman; Alexander Sotirov (julio de 2009). "Sub-Prime PKI: Attacking Extended Validation SSL" (PDF) . Blackhat . Consultado el 10 de septiembre de 2020 .
23. Hunt, Troy (17 de septiembre de 2018). "Los certificados de validación extendida están muertos". TroyHunt.com . Consultado el 26 de febrero de 2019 .
24. "Autoridad de certificación: Declaración de prácticas de certificación" (PDF) . Versión 6.1. Apple, Inc. 19 de agosto de 2016.
25. van Pelt, Cris. "Logius: problema de confianza de la CA del gobierno holandés". Bugzilla . Consultado el 31 de octubre de 2017 .
26. Moxie Marlinspike (2009). "Más trucos para derrotar a SSL en la práctica" (PDF) . Instituto de Estudios Disruptivos. Blackhat . Consultado el 10 de septiembre de 2020 .
27. Rec. UIT-T X.690, cláusula 8.19.2
28. Dan Kaminsky (29 de diciembre de 2009). "26C3: Black Ops Of PKI". Blog de eventos del CCC . Der Chaos Computer Club . Consultado el 29 de septiembre de 2013 .
29. Lenstra, Arjen; de Weger, Benne (19 de mayo de 2005). Sobre la posibilidad de construir colisiones de hash significativas para claves públicas (PDF) (Informe técnico). Lucent Technologies, Bell Laboratories y Technische Universiteit Eindhoven. Archivado (PDF) del original el 14 de mayo de 2013. Consultado el 28 de septiembre de 2013 .
30. "MD5 considerado dañino hoy en día". Universidad Tecnológica de Eindhoven. 16 de junio de 2011. Consultado el 29 de septiembre de 2013 .
31. "Eurocrypt 2009". Asociación Internacional de Investigación Criptológica.
32. Cameron McDonald; Philip Hawkes; Josef Pieprzyk (2009). "Colisiones SHA-1 en la actualidad" (PDF) . Universidad Macquarie y Qualcomm . Consultado el 10 de septiembre de 2020 .
33. Dennis Dwyer (2 de junio de 2009). "SHA-1 Collision Attacks Now 252" (Los ataques de colisión SHA-1 ya son 252). SecureWorks Insights . Consultado el 24 de febrero de 2016 .
34. Marc Stevens; Elie Bursztein; Pierre Karpman; Ange Albertini; Yarik Markov. "La primera colisión de SHA-1 completo" (PDF) . CWI Amsterdam y Google Research . Consultado el 10 de septiembre de 2020 – vía Shattered.
35. "Documentos de requisitos básicos". Foro de CA Browser . Consultado el 19 de marzo de 2017 .
36. Andrew Whalley (16 de noviembre de 2016). «Certificados SHA-1 en Chrome». Blog de seguridad en línea de Google . Consultado el 19 de marzo de 2017 .
37. "El fin de SHA-1 en la Web pública". Blog de seguridad de Mozilla . 23 de febrero de 2017. Consultado el 19 de marzo de 2017 .
38. "Microsoft Security Advisory 4010323". Technet . Microsoft . Consultado el 16 de mayo de 2017 .
39. "Safari y WebKit no admiten certificados SHA-1". Soporte técnico de Apple . 16 de agosto de 2018 . Consultado el 10 de septiembre de 2020 .
40. Daniel Stenburg (10 de enero de 2017). «Menos HTTPS para usuarios que no utilizan navegadores». Daniel Hax . Consultado el 19 de marzo de 2017 .
41. B Kaliski (marzo de 1998). PKCS #7: Sintaxis de mensajes criptográficos versión 1.5. Grupo de trabajo de redes. doi : 10.17487/RFC2315 . RFC 2315. Informativo.
42. T. Dierks; E. Rescorla (agosto de 2008). Protocolo de seguridad de la capa de transporte (TLS) versión 1.2. Grupo de trabajo TLS de la IETF . doi : 10.17487/RFC5246 . RFC 5246. Obsoleto. Queda obsoleto por RFC 8446; deja obsoletos RFC 3268, 4346 y 4366; actualiza RFC 4492.
43. Stefan Santesson; Michael Myers; Rich Ankey; Slava Galperin; Carlisle Adams (junio de 2013). Protocolo de estado de certificado en línea de infraestructura de clave pública de Internet X.509 - OCSP. Grupo de trabajo de ingeniería de Internet (IETF). doi : 10.17487/RFC6960 . RFC 6960. Norma propuesta. Actualizada por RFC 8954. Deja obsoletas las RFC 6277 y 2560. Actualiza la RFC 5912.
44. "PKCS 12: Estándar de sintaxis de intercambio de información personal". EMC.com . RSA Laboratories. Archivado desde el original el 6 de julio de 2017 . Consultado el 19 de marzo de 2017 .
45. "Infraestructura de clave pública (X.509) (pkix) - Carta". IETF Datatracker . Grupo de trabajo de ingeniería de Internet . Consultado el 1 de octubre de 2013 .
46. "Páginas de estado de Pkix". Herramientas IETF . Consultado el 10 de marzo de 2017 .
47. "Cómo crear una CA SSH para validar hosts y clientes con Ubuntu". DigitalOcean . Consultado el 19 de marzo de 2017 .

Enlaces externos

• Normas X.509 de la UIT-T
• Artículos de Peter Gutmann:
  • Descripción general de PKI
  • Notas de implementación y guía de estilo de X.509
• "Preguntas frecuentes sobre criptomonedas de RSA Labs". RSA Laboratories. Archivado desde el original el 30 de diciembre de 2006.
• Directrices de código seguro Sun
• RFC 4158 - Infraestructura de clave pública de Internet X.509: creación de una ruta de certificación
• RFC 5280 - Perfil de certificado de infraestructura de clave pública X.509 de Internet y lista de revocación de certificados (CRL)
• Descodificador de CSR y decodificador de certificados: se puede utilizar para decodificar y examinar un CSR o certificado codificado
• phpseclib: decodificador X.509: decodifica en una matriz asociativa cuyas claves corresponden a la descripción ASN.1 de X.509
• Comprensión de los certificados digitales Microsoft TechNet