Signature
L'algorithme de signature
Ce champs contient l'identifiant (comme ceux utilisés dans la RFC 1423 par exemple) de l'algorithme utilisé (par exemple, SHA1 pour le résumé, DSA pour le chiffrage) pour générer la signature digitale du certificat.
Ce champ doit contenir le même identifiant d'algorithme que celui indiqué dans le champ signature du certificat.
La signature
Ce champs contient la signature digitale du certificat (encodé en ASN.1 DER pour l'opération de signature). Sa validité prouve que l'authorité de certification a émit le certificat conformément à sa politique de certification.
Tout certificat X509 contient un champ d'extensions permettant d'ajouter des champs supplémentaires au certificat. Les extensions de certificat fournit une manière d'ajouter des informations comme des noms de sujet alternatif, ou des restriction à l'usage du certificat.
La version 3 de standardisation a pour but de répondre aux attentes suivantes:
- Confiance:
Les déploiements intra- et extra-net implique des modèles distribués qui ne sont pas conformes à une approche hiérachique stricte à la X.500.
- Utilisation du certificat:
Certaine organisations peuvent vouloir restraindre l'utilisation de certificats pour des raisons politiques. Par exemple, certains certificats peuvent être restreints à l'identification de clients.
Certificats multiples:
Il n'est pas rare pour des utilisateurs de certificats de posséder plusieurs certificats avec un sujet identique mais avec des clés différentes. Dans ce cas, il est nécessaire d'identifier quelle clé et quel certificat utiliser au cas par cas.
- Sujet alternatifs:
Pour certain buts, il est utile de posséder des noms alternatifs de sujet qui sont aussi lié à la clé publique dans le certificat.
- Attributs supplémentaires:
Certaines organsiations peuvent à leur convenance enregistrer des informations supplémentaire dans des certificats, par exemple lorsqu'il est impossible de chercher ces informations dans des répertoires.
- Rapport à la AC:
Quand la chaîne de certification implique des AC intermédiaires, il est utile que des informations sur les rapports entre AC soient incluses dans leur certificats.
- Vérification de LRC:
Comme il n'est pas toujours possible de vérifier le status de révocation d'un certificat via un répertoire, ou avec l'authorité de certification origniale, il est utile pour des certificats d'inclure les informations sur où vérifier les LRC.
Avant que le standard X.509 v3 soit finalisé, Netscape et d'autres entreprises ont crées leur propres définition d'extension. Ainsi, pour maintenir la compabilité avec des versions plus anciennes de navigateurs, certains types de certificats devraient inclure quelques unes des extensions Netscape.