¿Para qué se utiliza el x509?

Un certificado X509 permite realizar varias acciones sobre él, o transformarlo. Puede usarse para ver la información sobre los certificados, convertir los certificados a otros tipos, firmar peticiones de certificado, o editar las opciones de confianza o aceptabilidad de un certificado.

En la librería openSSL existen varios archivos dedicados a crear, acceder o modificar los diferentes objetos relacionados con el x509. estos tipos de objetos son básicamente de tres tipos:

x509 certificate o x509(certificados x509)
Certificate Signing Request o CSR (petición de firma de certificado). Esto esta definido como un objeto PKCS10.
Certificate Revokation List o CRL (lista de certificados rechazados)

El X509 puede aparecer en dos formatos. Uno de ellos es la versión estándar, que es la definda en un principio. La otra consiste en añadir una sere de extensiones a los certificados para mejorar la información disponible. Entre la información añadida a esta segunda versión (versión v3) están:

Identificación de la clave de la autoridad
Atributos de la clase
Políticas de certificación
Restricciones de uso de la clave
Alias del titular
Alias de la empresa(issuer)
Atributos del titular
Identidad de la autoridad certificadora
Fotos (¿y por qué no?, cualquier información puede incluirse)

Las listas de certificados rechazables son una importante función de la política de seguridad. La posibilidad de rechazar claves o certificados en caso de ser perdidos, caducar temporalmente, cese del servicio para el que fueron creados, o el mal uso de su persona titular es esencial. Las listas de certificados rechazables están firmadas por la empresa certificadora, indicando los periodos de renovación, los certificados rechazados, etc. Esto puede presentar un grave problema a la hora de confiar enun certificado pues la actualización de estas listas es un tema complicado.

En la versión v3 también se añaden una serie de campos de información adicional en las listas: identidad de la clave de la autoridad, atributos de la empresa, número de CRL, razón del rechazo, fecha final, etc.

El X509 puede usarse para firmar certificados y peticiones en dos modos posibles. Estos modos son la autofirma mediante nuestra propia clave privada o el uso de un certificado "fiable" que actue como Autoridad Certificadora.

Selfsigned:Si lo aplicamos sobre un certificado se ponen los datos del titular como datos de la empresa(issuer), es decir, se autofirma, cambia la clave pública a la dada y firma con la clave privada del titular; cambia las fechas de validez: la de comienzo se pone a la fecha actual y la de final de validez se ha de fijar mediante un parámetro de días. Las extensiones se mantienen.Si lo aplicamos sobre una petici&oacut e;n de firma de un certificado, entonces crea un certificado autofirmado usando la clave privada con el nombre del titular de la petición.
CA:Especifica que se use el certificado de una autoridad certificadora (supestamente nosotros lo somos). En los datos de la empresa(issuer) se ponen los del certificado de la CA y se firma con la clave de la autoridad certificadora.

En cuanto a la fiabilidad de un certificado, podemos hablar de certificados fiables(trusted certificate) que es un certificado normal con alguna información adicional como los usos permitidos o prohibidos del certificado o los alias.

Cuando un certificado está siendo verificado, por lo menos un certificado debe ser fiable. Por defecto, un certificado fiable debe estar almacenado localmente y con el Root como propietario.

índice