X.509 является стандартом ITU-T для инфраструктуры открытых ключей (PKI) и управления привилегиями (PMI).
X.509 определяет форматы данных и процедуры распределения открытых ключей с помощью сертификатов с цифровыми подписями. Эти сертификаты предоставляются удостоверяющими центрами.
В документе RFC 1422 описаны основы для PKI на базе стандарта X.509.
В RFC 5280 определены сертификат X.509 версии 3 и список отзыва сертификатов (CRL) версии 2.
Для технологии открытых ключей необходимо, чтобы пользователь открытого ключа был уверен, что этот ключ принадлежит именно тому удалённому субъекту (пользователю или системе), который будет использовать средства шифрования или цифровой подписи. Такую уверенность дают сертификаты открытых ключей, то есть структуры данных, которые связывают величины открытых ключей с субъектами. Эта связь достигается цифровой подписью доверенного CA под каждым сертификатом. Сертификат имеет ограниченный срок действия, указанный в его подписанном содержании. Поскольку пользователь сертификата может самостоятельно проверить его подпись и срок действия, сертификаты могут распространяться через незащищённые каналы связи и серверные системы, а также храниться в кэш-памяти незащищённых пользовательских систем. Содержание сертификата должно быть одинаковым в пределах всего PKI. В настоящее время в этой области предлагается общий стандарт для Интернет с использованием формата X.509:
Номер версии Серийный номер Эмитент Субъект Открытый ключ субъекта (алгоритм, ключ) Период действия Дополнительные (необязательные) значения Алгоритм подписи сертификата Значение подписи сертификата
Для описания внутренней структуры X509-сертификатов используется ASN.1. Хранятся, как правило, в виде DER (бинарных) или PEM-файлов (текстовых, закодированных с помощью base64). Общепринятое расширение .cer или .crt.
CRL представляет собой список отозванных сертификатов с указанием времени. Он подписывается CA и свободно распространяется через общедоступный репозиторий. В списке CRL каждый отозванный сертификат опознается по своему серийному номеру. Когда у какой-то системы возникает необходимость в использовании сертификата (например, для проверки цифровой подписи удаленного пользователя), эта система не только проверяет подпись сертификата и срок его действия, но и просматривает последний из доступных списков CRL, проверяя, не отозван ли этот сертификат.
