Certificación digital X.509

Una tarea principal de un certificado digital es proporcionar acceso a la clave pública del sujeto. El certificado también confirma que la clave pública del certificado pertenece al asunto del certificado. Por ejemplo, una entidad de certificación (CA) puede firmar digitalmente un mensaje especial (la información del certificado) que contiene el nombre de algún usuario, por ejemplo, "Alice" y su clave pública. Esto debe hacerse de tal manera que cualquier persona pueda comprobar que el certificado se emitió y firmó por nadie más que la CA. Si la ENTIDAD de certificación es de confianza y se puede comprobar que el certificado de Alice fue emitido por esa entidad de certificación, cualquier receptor del certificado de Alice puede confiar en la clave pública de Alice desde ese certificado.

La implementación típica de la certificación digital implica un proceso para firmar el certificado.

El proceso es similar al siguiente:

  1. Alice envía una solicitud de certificado firmada que contiene su nombre, su clave pública y quizás alguna información adicional a una ENTIDAD de certificación.
  2. La ENTIDAD de certificación crea un mensaje, m, a partir de la solicitud de Alice. La ENTIDAD de certificación firma el mensaje con su clave privada, creando un mensaje de firma independiente, sig. La ENTIDAD de certificación devuelve el mensaje, m y la firma sig, a Alice. Juntos, m y sig forman el certificado de Alice.
  3. Alice envía ambas partes de su certificado a Bob para darle acceso a su clave pública.
  4. Bob comprueba la firma, sig mediante la clave pública de la entidad de certificación. Si la firma demuestra ser válida, acepta la clave pública en el certificado como clave pública de Alice.

Al igual que con cualquier firma digital, cualquier receptor con acceso a la clave pública de la ENTIDAD de certificación puede determinar si una entidad de certificación específica firmó el certificado. Este proceso no requiere acceso a ninguna información secreta. En el escenario que acaba de presentar se supone que Bob tiene acceso a la clave pública de la entidad de certificación. Bob tendría acceso a esa clave si tiene una copia del certificado de la ENTIDAD de certificación que contiene esa clave pública.

Los certificados digitales X.509 incluyen no solo el nombre de un usuario y la clave pública, sino también otra información sobre el usuario. Estos certificados son más que las piedras paso a paso en una jerarquía digital de confianza. Permiten que la ENTIDAD de certificación proporcione al receptor de un certificado un medio para confiar no solo en la clave pública del firmante del certificado, sino también en esa otra información sobre el sujeto del certificado. Esa otra información puede incluir, entre otras cosas, una dirección de correo electrónico, una autorización para firmar documentos de un valor determinado o la autorización para convertirse en una ENTIDAD de certificación y firmar otros certificados.

Los certificados X.509 y muchos otros certificados tienen una duración de tiempo válida. Un certificado puede expirar y ya no ser válido. Una ENTIDAD de certificación puede revocar un certificado por varias razones. Para controlar las revocaciones, una ENTIDAD de certificación mantiene y distribuye una lista de certificados revocados denominados lista de revocación de certificados (CRL). Los usuarios de red acceden a la CRL para determinar la validez de un certificado.