RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile

Data di pubblicazione: Maggio 2008
Stato: Protocollo Standards Track
Autori: D. Cooper (NIST), S. Santesson (Microsoft), S. Farrell (Trinity College Dublin), S. Boeyen (Entrust), R. Housley (Vigil Security), W. Polk (NIST)
Rende obsoleti: RFC 3280, RFC 4325, RFC 4630

---

Sommario (Abstract)

Questo documento definisce il profilo dei certificati X.509 v3 e delle liste di revoca dei certificati (Certificate Revocation List, CRL) X.509 v2 per l'uso su Internet. Viene fornita una panoramica di questo approccio e modello come introduzione. Il formato del certificato X.509 v3 è descritto in dettaglio, con informazioni aggiuntive riguardanti il formato e la semantica delle forme dei nomi Internet. Le estensioni standard dei certificati sono descritte e vengono definite due estensioni specifiche per Internet. Viene specificato un insieme di estensioni di certificato obbligatorie. Il formato X.509 v2 CRL è descritto in dettaglio insieme alle estensioni standard e specifiche per Internet. Viene descritto un algoritmo per la validazione del percorso di certificazione X.509. Un modulo ASN.1 ed esempi sono forniti nelle appendici.

---

Indice (Table of Contents)

Sezioni principali

• 1. Introduction (Introduzione)
• 2. Requirements and Assumptions (Requisiti e presupposti)
  • 2.1 Communication and Topology (Comunicazione e topologia)
  • 2.2 Acceptability Criteria (Criteri di accettabilità)
  • 2.3 User Expectations (Aspettative degli utenti)
  • 2.4 Administrator Expectations (Aspettative degli amministratori)
• 3. Overview of Approach (Panoramica dell'approccio)
  • 3.1 X.509 Version 3 Certificate (Certificato X.509 versione 3)
  • 3.2 Certification Paths and Trust (Percorsi di certificazione e fiducia)
  • 3.3 Revocation (Revoca)
  • 3.4 Operational Protocols (Protocolli operativi)
  • 3.5 Management Protocols (Protocolli di gestione)
• 4. Certificate and Certificate Extensions Profile (Profilo certificato ed estensioni certificato)
  • 4.1 Basic Certificate Fields (Campi certificato di base)
  • 4.2 Certificate Extensions (Estensioni certificato)
• 5. CRL and CRL Extensions Profile (Profilo CRL ed estensioni CRL)
  • 5.1 CRL Fields (Campi CRL)
  • 5.2 CRL Extensions (Estensioni CRL)
  • 5.3 CRL Entry Extensions (Estensioni voce CRL)
• 6. Certification Path Validation (Validazione percorso certificazione)
  • 6.1 Basic Path Validation (Validazione percorso di base)
  • 6.2 Using the Path Validation Algorithm (Utilizzo dell'algoritmo di validazione percorso)
  • 6.3 CRL Validation (Validazione CRL)
• 7. Processing Rules for Internationalized Names (Regole di elaborazione per nomi internazionalizzati)
  • 7.1 Internationalized Names in Distinguished Names (Nomi internazionalizzati nei nomi distinti)
  • 7.2 Internationalized Domain Names in GeneralName (Nomi di dominio internazionalizzati in GeneralName)
  • 7.3 Internationalized Domain Names in Distinguished Names (Nomi di dominio internazionalizzati nei nomi distinti)
  • 7.4 Internationalized Resource Identifiers (Identificatori di risorse internazionalizzati)
  • 7.5 Internationalized Electronic Mail Addresses (Indirizzi di posta elettronica internazionalizzati)
• 8. Security Considerations (Considerazioni sulla sicurezza)
• 9. IANA Considerations (Considerazioni IANA)
• 10. Acknowledgments (Ringraziamenti)
• 11. References (Riferimenti)
  • 11.1 Normative References (Riferimenti normativi)
  • 11.2 Informative References (Riferimenti informativi)

Appendici (Appendices)

• Appendix A. Pseudo-ASN.1 Structures and OIDs (Strutture pseudo-ASN.1 e OID)
  • A.1 Explicitly Tagged Module, 1988 Syntax (Modulo con tag espliciti, sintassi 1988)
  • A.2 Implicitly Tagged Module, 1988 Syntax (Modulo con tag impliciti, sintassi 1988)
• Appendix B. ASN.1 Notes (Note ASN.1)
• Appendix C. Examples (Esempi)
  • C.1 RSA Self-Signed Certificate (Certificato RSA autofirmato)
  • C.2 End Entity Certificate Using RSA (Certificato entità finale utilizzando RSA)
  • C.3 End Entity Certificate Using DSA (Certificato entità finale utilizzando DSA)
  • C.4 Certificate Revocation List (Lista di revoca certificati)

---

Risorse correlate

• Testo ufficiale: RFC 5280
• Pagina ufficiale: RFC 5280 DataTracker
• Errata: RFC Editor Errata
• Aggiornato da: RFC 6818, RFC 8398, RFC 8399

---

Panoramica dei concetti chiave

Cos'è un certificato X.509?

Un certificato X.509 è un documento digitale utilizzato per provare l'identità e stabilire comunicazioni sicure su Internet. Costituisce la base di tecnologie come HTTPS, TLS/SSL, firma del codice e crittografia della posta elettronica.

Funzioni principali:

• Verifica dell'identità: Prova "chi sei"
• Distribuzione della chiave pubblica: Distribuisce le chiavi pubbliche in modo sicuro
• Catena di fiducia: Stabilisce la fiducia tramite le autorità di certificazione (Certificate Authority, CA)

Struttura base del certificato

Certificate ::= SEQUENCE {
   tbsCertificate       TBSCertificate,
   signatureAlgorithm   AlgorithmIdentifier,
   signatureValue       BIT STRING
}

Campi chiave:

• Version (Versione): Versione del certificato (v1, v2, v3)
• Serial Number (Numero di serie): Identificatore univoco assegnato dalla CA
• Signature Algorithm (Algoritmo di firma): Algoritmo utilizzato per firmare il certificato
• Issuer (Emittente): DN dell'entità che ha firmato il certificato
• Validity (Validità): Periodo durante il quale il certificato è valido
• Subject (Soggetto): DN dell'entità associata alla chiave pubblica
• Subject Public Key Info (Info chiave pubblica soggetto): Chiave pubblica e identificatore algoritmo
• Extensions (Estensioni): Informazioni aggiuntive (solo v3)

---