X.509 ist ein Standard der ITU-T (International Telecommunication Union - Telecommunication Standardization Sector) für eine Public-Key-Infrastruktur (PKI). Er definiert das Format von digitalen Zertifikaten, die zur sicheren Authentifizierung und Verschlüsselung in Netzwerken verwendet werden, insbesondere bei TLS/SSL, E-Mail-Verschlüsselung und Code-Signierung.

Siehe auch [[CA]], [[OpenSSL]], [[PKI]]

=====Aufbau=====
Ein X.509-Zertifikat ist in der Regel im DER- (Distinguished Encoding Rules) oder PEM-Format codiert und besteht aus folgenden Feldern:

|Version|Version des Standards (meist v3)|
|Serial Number|Eindeutige Seriennummer des Zertifikats|
|Signature Algorithm|Signaturalgorithmus, z. B. sha256WithRSAEncryption|
|Issuer|Aussteller des Zertifikats (z. B. Zertifizierungsstelle)|
|Validity|Gültigkeitszeitraum (notBefore, notAfter)|
|Subject|Subjekt des Zertifikats (Identität, z. B. Domainname, Benutzer)|
|Subject Public Key Info|Öffentlicher Schlüssel und Algorithmus|

=====V3 Extensions=====

|Key Usage|Verwendungszweck des Schlüssels (z. B. digitalSignature, keyEncipherment, nonRepudiation)|
|Extended Key Usage|Erweiterte Zwecke (z. B. serverAuth, clientAuth, codeSigning, emailProtection)|
|Subject Alternative Name (SAN)|Zusätzliche Identitäten, z. B. weitere DNS-Namen|
|CRL Distribution Points|Verweise auf Sperrlisten (CRL)|
|Authority Key Identifier|Identifiziert den Schlüssel der ausstellenden CA|
|Subject Key Identifier|Identifiziert den öffentlichen Schlüssel des Subjekts|
|Basic Constraints|Gibt an, ob das Zertifikat eine CA ist und wie tief die Zertifikatskette sein darf|


=====Zertifikatskette (Chain of Trust)=====

Ein X.509-Zertifikat ist Teil einer Zertifikatskette, die bis zur Root-Zertifizierungsstelle (Root CA) zurückverfolgt werden kann:

  * End Entity (Leaf Certificate) – z. B. www.example.com
  * Intermediate CA – von Root CA signiert, stellt Zertifikate aus
  * Root CA – selbstsigniert, höchste Vertrauensebene

=====Sperrung von Zertifikaten=====
Zur Sperrung kompromittierter oder ungültiger Zertifikate gibt es zwei Hauptverfahren:

  * [[CRL]] (Certificate Revocation List) – Liste von Seriennummern gesperrter Zertifikate
  * [[OCSP]] (Online Certificate Status Protocol) – Online-Abfrage zum Zertifikatsstatus


=====Anwendungen=====
X.509-Zertifikate werden verwendet in:

  * TLS/SSL: HTTPS-Webseiten
  * E-Mail-Signierung & Verschlüsselung: S/MIME
  * VPN-Verbindungen: z. B. bei IPsec oder OpenVPN
  * Authentifizierung: z. B. in Smartcards, Betriebssystemen oder SSO-Systemen
  * Code-Signierung: Softwareverteilung, App-Zertifikate