Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un'attività primaria di un certificato digitale consiste nel fornire l'accesso alla chiave pubblica soggetto. Il certificato conferma inoltre che la chiave pubblica del certificato appartiene all'oggetto del certificato. Ad esempio, un'autorità di certificazione (CA) può firmare digitalmente un messaggio speciale (le informazioni sul certificato) che contiene il nome di un utente, ad esempio "Alice" e la relativa chiave pubblica. Questa operazione deve essere eseguita in modo che chiunque possa verificare che il certificato sia stato emesso e firmato da nessuno diverso dalla CA. Se l'autorità di certificazione è attendibile e può essere verificato che il certificato di Alice sia stato rilasciato da tale CA, qualsiasi destinatario del certificato di Alice può considerare attendibile la chiave pubblica di Alice da tale certificato.
L'implementazione tipica della certificazione digitale implica un processo per la firma del certificato.
Il processo è simile al seguente:
- Alice invia una richiesta di certificato firmata contenente il nome, la chiave pubblica e forse alcune informazioni aggiuntive a una CA.
- La CA crea un messaggio, m, dalla richiesta di Alice. La CA firma il messaggio con la relativa chiave privata, creando un messaggio di firma separato, sig. La CA restituisce il messaggio, me la firma, sig, su Alice. Insieme, m e sig formare il certificato di Alice.
- Alice invia entrambe le parti del suo certificato a Bob per concederegli l'accesso alla chiave pubblica.
- Bob verifica la firma, sig usando la chiave pubblica della CA. Se la firma risulta valida, accetta la chiave pubblica nel certificato come chiave pubblica di Alice.
Come per qualsiasi firma digitale , qualsiasi ricevitore con accesso alla chiave pubblica della CA può determinare se una CA specifica ha firmato il certificato. Questo processo non richiede l'accesso alle informazioni segrete. Lo scenario appena presentato presuppone che Bob abbia accesso alla chiave pubblica della CA. Bob avrebbe accesso a tale chiave se dispone di una copia del certificato della CA che contiene tale chiave pubblica.
certificati digitali X.509 includono non solo il nome e la chiave pubblica di un utente, ma anche altre informazioni sull'utente. Questi certificati sono più che istruzioni in una gerarchia digitale di trust. Consentono alla CA di fornire al destinatario di un certificato un mezzo per considerare attendibile non solo la chiave pubblica dell'oggetto del certificato, ma anche altre informazioni sull'oggetto del certificato. Tali altre informazioni possono includere, tra le altre cose, un indirizzo di posta elettronica, un'autorizzazione per firmare i documenti di un determinato valore o l'autorizzazione a diventare una CA e firmare altri certificati.
I certificati X.509 e molti altri certificati hanno una durata valida. Un certificato può scadere e non essere più valido. Una CA può revocare un certificato per diversi motivi. Per gestire le revoche, una CA gestisce e distribuisce un elenco di certificati revocati denominati elenco di revoche di certificati (CRL). Gli utenti di rete accedono al CRL per determinare la validità di un certificato.