Was bedeutet X.509

X.509 ist eine streng hierarchisch aufgebaute Struktur, die Ihren Ursprung im X.500 Standard hat. In der aktuellen Version X.509v3 stellt sie die Basis für den Standard der bei der Erstellung von Zertifikaten zum Einsatz kommt.

Geschichte

Seinen Ursprung hat X.509 im Jahre 1988, als der Standard mit zusammen mit Empfehlungen für den X.500 Verzeichnis Dienst von CCITT(ITU-I) herausgegeben wurde (X.509v1).

Im Jahr 1993 wurde eine überarbeitete Fassung veröffentlicht, die den Standard um 2 weitere Felder erweiterte (X.509.v2).

RFCs die 1993 veröffentlicht wurden und sich mit Internet Privacy Enhanced Mail (PEM) befassen, enthalten Spezifikationen, die eine Public Key Infrastructure (PKI) entwerfen, die auf X.509 aufbaut. Die beim Versuch der Verabschiedung von RFC1422 gemachten Erfahrungen machten deutlich, dass es notwendig war, die aktuellen Formate X.509v1 und X.509v2 nicht genug Informationen aufnahmen, um für PEM in Frage zu kommen.

In Folge dessen entwickelten ISO/IEC, ITU-T, und ANSI X9 das X.509v3 Zertifikatsformat. Der Standard wurde im Juni 1996 verabschiedet. Zusammen mit dem Standard wurden Erweiterungen herausgegeben, die zusätzliche Subjekt Informationen, Schlüsselattribute, Policy Informationen und Zertifikatspfad-Zusammenhänge enthalten können.

Die Vorgaben des Standards wurden sehr weit gefasst, weshalb es notwendig wurde, geschärfte Profilinformationen für die Verwendung im Internet zu verabschieden.

Dabei gilt momentan für die aktuelle Version X.509v3 die RFC 5280 und das Update mit RFC 6818. Zuvor wurden die Profile in der RFC 3280 mit Updates durch RFC 4325 und RFC 4630 beschrieben.

Gängige Attribute

Kern Felder

TBSCertificate enthält verschiedene Basis Felder.

• version: zwingend erforderlich. Standardwert: v1
• serialNumber: enthält die Seriennummer des Zertifikats
• signature: Indentifikator des verwendeten Signatur Algorithmus
• issuer: Name der ausstellenden Entität
• validity: Datum der Gültigkeit des Zertifkates
• subject: Subjekt / Betreff des Zertifikates enthält den Distinguished Name
• subjectPublicKeyInfo: Informationen zum öffentlichen Schlüssel/public Key des Subjekts
• issuerUniqueID: eindeutiger Bezeichner der unterzeichnenden Entität

Attribute des Distinguished Names (DN)

• country: Name oder ISO Kürzel des Landes
• organization: vollständiger Name der Organisation, so wie beurkundet
• organizational unit: Abteilungsname, wird bei Ausstellungen für gewöhnlich übergangen
• distinguished name qualifier: wird genutzt um sonst gleiche DNs eindeutig zu kennzeichnen (X.520)
• state or province name: Name des Bundeslandes, Bundesstaates oder der Provinz
• common name: gemeinsamer Name, Commonname (zB www.icertificate.eu)
• serial number: Seriennummer des Zertifikates

Attribute die implementiert werden soll(t)en

Bis auf Locality finden die Attribute so gut wie keine Anwendung bei herkömmlichen SSL oder SMIME Zertifikaten.

• locality: Ort
• title: Dr, Prof, CEO usw.
• surname: Nachname
• given name: Vorname
• initials: Initialen
• pseudonym: Pseudonym
• generation qualifier: z.B. "Jr.", "3.", "IV"