RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

Date de publication : Mai 2008
Statut : Protocole de norme (Standards Track)
Auteurs : D. Cooper (NIST), S. Santesson (Microsoft), S. Farrell (Trinity College Dublin), S. Boeyen (Entrust), R. Housley (Vigil Security), W. Polk (NIST)
Rend obsolète : RFC 3280, RFC 4325, RFC 4630

---

Résumé (Abstract)

Ce document définit le profil des certificats X.509 v3 et des listes de révocation de certificats (Certificate Revocation List, CRL) X.509 v2 pour une utilisation sur Internet. Une vue d'ensemble de cette approche et de ce modèle est fournie en introduction. Le format du certificat X.509 v3 est décrit en détail, avec des informations supplémentaires concernant le format et la sémantique des formes de noms Internet. Les extensions de certificat standard sont décrites et deux extensions spécifiques à Internet sont définies. Un ensemble d'extensions de certificat obligatoires est spécifié. Le format X.509 v2 CRL est décrit en détail avec les extensions standard et spécifiques à Internet. Un algorithme de validation de chemin de certification X.509 est décrit. Un module ASN.1 et des exemples sont fournis dans les annexes.

---

Table des matières (Table of Contents)

Sections principales

• 1. Introduction
• 2. Requirements and Assumptions (Exigences et hypothèses)
  • 2.1 Communication and Topology (Communication et topologie)
  • 2.2 Acceptability Criteria (Critères d'acceptabilité)
  • 2.3 User Expectations (Attentes des utilisateurs)
  • 2.4 Administrator Expectations (Attentes des administrateurs)
• 3. Overview of Approach (Vue d'ensemble de l'approche)
  • 3.1 X.509 Version 3 Certificate (Certificat X.509 version 3)
  • 3.2 Certification Paths and Trust (Chemins de certification et confiance)
  • 3.3 Revocation (Révocation)
  • 3.4 Operational Protocols (Protocoles opérationnels)
  • 3.5 Management Protocols (Protocoles de gestion)
• 4. Certificate and Certificate Extensions Profile (Profil de certificat et d'extensions de certificat)
  • 4.1 Basic Certificate Fields (Champs de certificat de base)
  • 4.2 Certificate Extensions (Extensions de certificat)
• 5. CRL and CRL Extensions Profile (Profil de LCR et d'extensions de LCR)
  • 5.1 CRL Fields (Champs de LCR)
  • 5.2 CRL Extensions (Extensions de LCR)
  • 5.3 CRL Entry Extensions (Extensions d'entrée de LCR)
• 6. Certification Path Validation (Validation de chemin de certification)
  • 6.1 Basic Path Validation (Validation de chemin de base)
  • 6.2 Using the Path Validation Algorithm (Utilisation de l'algorithme de validation de chemin)
  • 6.3 CRL Validation (Validation de LCR)
• 7. Processing Rules for Internationalized Names (Règles de traitement pour les noms internationalisés)
  • 7.1 Internationalized Names in Distinguished Names (Noms internationalisés dans les noms distinctifs)
  • 7.2 Internationalized Domain Names in GeneralName (Noms de domaine internationalisés dans GeneralName)
  • 7.3 Internationalized Domain Names in Distinguished Names (Noms de domaine internationalisés dans les noms distinctifs)
  • 7.4 Internationalized Resource Identifiers (Identificateurs de ressources internationalisés)
  • 7.5 Internationalized Electronic Mail Addresses (Adresses de courrier électronique internationalisées)
• 8. Security Considerations (Considérations de sécurité)
• 9. IANA Considerations (Considérations IANA)
• 10. Acknowledgments (Remerciements)
• 11. References (Références)
  • 11.1 Normative References (Références normatives)
  • 11.2 Informative References (Références informatives)

Annexes (Appendices)

• Appendix A. Pseudo-ASN.1 Structures and OIDs (Structures pseudo-ASN.1 et OID)
  • A.1 Explicitly Tagged Module, 1988 Syntax (Module à étiquetage explicite, syntaxe 1988)
  • A.2 Implicitly Tagged Module, 1988 Syntax (Module à étiquetage implicite, syntaxe 1988)
• Appendix B. ASN.1 Notes (Notes ASN.1)
• Appendix C. Examples (Exemples)
  • C.1 RSA Self-Signed Certificate (Certificat auto-signé RSA)
  • C.2 End Entity Certificate Using RSA (Certificat d'entité finale utilisant RSA)
  • C.3 End Entity Certificate Using DSA (Certificat d'entité finale utilisant DSA)
  • C.4 Certificate Revocation List (Liste de révocation de certificats)

---

Ressources associées

• Texte officiel : RFC 5280
• Page officielle : RFC 5280 DataTracker
• Errata : RFC Editor Errata
• Mis à jour par : RFC 6818, RFC 8398, RFC 8399

---

Vue d'ensemble des concepts clés

Qu'est-ce qu'un certificat X.509 ?

Un certificat X.509 est un document numérique utilisé pour prouver l'identité et établir des communications sécurisées sur Internet. Il constitue la base de technologies telles que HTTPS, TLS/SSL, la signature de code et le chiffrement des courriels.

Fonctions principales :

• Vérification d'identité : Prouve « qui vous êtes »
• Distribution de clé publique : Distribue les clés publiques de manière sécurisée
• Chaîne de confiance : Établit la confiance via les autorités de certification (Certification Authority, CA)

Structure de base du certificat

Certificate ::= SEQUENCE {
   tbsCertificate       TBSCertificate,
   signatureAlgorithm   AlgorithmIdentifier,
   signatureValue       BIT STRING
}

Champs clés :

• Version : Version du certificat (v1, v2, v3)
• Serial Number (Numéro de série) : Identifiant unique attribué par la CA
• Signature Algorithm (Algorithme de signature) : Algorithme utilisé pour signer le certificat
• Issuer (Émetteur) : DN de l'entité qui a signé le certificat
• Validity (Validité) : Période pendant laquelle le certificat est valide
• Subject (Sujet) : DN de l'entité associée à la clé publique
• Subject Public Key Info (Info de clé publique du sujet) : Clé publique et identifiant d'algorithme
• Extensions : Informations supplémentaires (v3 uniquement)

---