什么是 X.509 證書以及它是如何工作的？ _生活百科

X.509 證書是基于廣泛接受的國際電信聯盟 (ITU) X.509 標準的數字證書，該標準定義了公鑰基礎設施 (PKI) 證書的格式。它們用于管理互聯網通信和計算機網絡中的身份和安全。它們不顯眼且無處不在，我們每天在使用網站、移動應用程序、在線文檔和連接設備時都會遇到它們。
安全消息傳遞和 Web 瀏覽
X.509 證書的結構優勢之一是它是使用由相關公鑰和私鑰組成的密鑰對構建的。應用于密碼學，公鑰和私鑰對用于加密和解密消息，確保發送者的身份和消息本身的安全性。基于 X.509 的 PKI 最常見的用例是傳輸層安全性 (TLS)/安全套接字層 (SSL)，它是 HTTPS 協議的基礎，可實現安全的 Web 瀏覽。但 X.509 協議也適用于應用程序安全、數字簽名和其他關鍵互聯網協議的代碼簽名。
版本歷史
X.509 標準的第一個版本于 1988 年發布。為了規范證書頒發規則，國際電聯電信標準化部門 (ITU-T) 開發了一個遵循電子目錄服務規則的專有名稱分級系統用于 X.500，并受到用于在全球范圍內分配電話號碼的系統的啟發，但適用于 Internet 更靈活的組織要求。
1996 年，該標準的第 3 版提供了重大更新，增加了多個擴展，這些擴展至今仍在使用，以支持互聯網使用的擴展和新應用。
現在版本 9 是該標準的當前版本，已于 2019 年 10 月定義。
此外，被稱為 PKIX 的互聯網工程任務組 (IETF) 公鑰基礎設施工作組在開發自己的互聯網 X.509 公鑰基礎設施證書和證書撤銷列表 (CRL) 時采用了 X.509 v3 證書標準配置文件標準 (RFC 5280) 。
X.509 證書的好處
信任——數字證書允許個人、組織甚至設備在數字世界中建立信任。作為所有數字身份的基礎，X.509 證書無處不在，對于從網站到應用程序再到端點設備和在線文檔的每個連接過程都至關重要。例如，如果沒有這些，我們將無法相信 www.amazon.com 實際上是亞馬遜的網站。
這種信任級別是由 X.509 證書的工作方式和頒發方式建立的。密鑰使用架構允許證書驗證：

公鑰屬于證書中包含的主機名/域、組織或個人
它已由公開信任的頒發者證書頒發機構 (CA) 簽名，如 Sectigo，或自簽名。

當證書由受信任的 CA 簽名時，證書用戶可以確信證書所有者或主機名/域已經過驗證，而自簽名證書可以在較小程度上被信任，因為所有者不經過任何額外的簽發前的驗證。
可擴展性——這種基于證書的身份識別方法的另一個好處是可擴展性。PKI 架構的可擴展性如此之高，以至于它可以保護組織每天通過自己的網絡和互聯網交換的數十億條消息。實現這一點的原因是，公鑰可以廣泛且公開地分發，而惡意行為者無法發現解密消息所需的私鑰。
X.509 證書如何工作？
X.509 標準基于一種稱為抽象語法符號一 (ASN.1) 的接口描述語言，它定義了可以跨平臺方式進行序列化和反序列化的數據結構。利用 ASN，X.509 證書格式使用相關的公鑰和私鑰對來加密和解密消息。
公鑰基礎設施的基礎
公鑰由一串隨機數組成，可用于加密消息。只有預期的接收者才能解密和閱讀這條加密消息，并且只能使用相關的私鑰來解密和閱讀，該私鑰也是由一長串隨機數組成的。這個私鑰是秘密的，只有接收者知道。由于公開密鑰向全世界公開，因此使用復雜的加密算法創建公鑰，通過生成不同長度的隨機數字組合將它們與關聯的私鑰配對，這樣它們就不會被暴力攻擊利用。用于生成公鑰的最常用算法是：