X.509는 공개 키 인프라(PKI, Public Key Infrastructure)에서 사용되는 디지털 인증서의 국제 표준 형식이다. 이 표준은 국제전기통신연합 전기통신표준화부문(ITU-T)에서 정의하였으며, 인증서의 구조, 필드, 인코딩 방식 등을 규정한다. X.509 인증서는 주로 SSL/TLS, 이메일 보안(S/MIME), 전자 서명, 사용자 인증 등 다양한 보안 응용 분야에서 사용된다.
개요
X.509는 공개 키 암호화 기반 시스템에서 주체(예: 웹사이트, 사용자, 기관)의 신원을 인증하기 위한 디지털 인증서의 구조를 정의하는 표준이다. 인증서에는 주체의 공개 키, 주체의 신원 정보, 인증서의 유효 기간, 발급 기관(CA, Certificate Authority)의 정보, CA의 디지털 서명 등이 포함된다. 이를 통해 수신 측은 인증서를 검증함으로써 공개 키의 진위와 유효성을 확인할 수 있다. 현재 널리 사용되는 X.509 v3 버전은 확장 필드를 포함하여 보다 유연한 정책과 제한 조건을 설정할 수 있도록 지원한다.
어원/유래
X.509는 ITU-T의 X 시리즈 권고안(X-Series Recommendations) 중 하나로, "데이터 네트워크, 개방형 시스템 및 보안" 관련 표준을 다루는 X.500 시리즈에 속한다. X.509는 X.500 디렉터리 서비스 표준의 일부로서, 디렉터리에 등록된 사용자의 인증 정보를 관리하기 위한 수단으로 처음 개발되었다. 최초 버전은 1988년에 발표되었으며, 이후 1993년 v2, 1995년 v3 등으로 개정되었다. 인터넷의 보안 요구 증가와 함께 IETF(인터넷 공학 태스크 포스)도 X.509를 기반으로 한 프로파일링 표준(예: RFC 5280)을 제정하며 널리 채택되었다.
특징
X.509 인증서의 주요 특징은 다음과 같다:
- 구조적 표준화: ASN.1(Abstract Syntax Notation One)을 사용하여 데이터 구조를 정의하고, DER(Distinguished Encoding Rules) 또는 PEM(Privacy-Enhanced Mail) 형식으로 인코딩된다.
- 계층적 인증 구조: 인증서는 신뢰할 수 있는 루트 CA로부터 발급되거나, 중간 CA를 거쳐서 발급되며, 신뢰 체인(chain of trust)을 통해 검증된다.
- 유효기간 설정: 각 인증서는 시작일과 만료일을 가지며, 일정 기간이 지나면 무효화된다.
- 확장 기능 지원: v3 인증서는 키 용도(Key Usage), 확장 키 용도(Extended Key Usage), 주체 대체 이름(Subject Alternative Name) 등의 확장 필드를 지원하여 다양한 정책을 구현할 수 있다.
- 서명 기반 검증: 인증서 발급 기관은 자신의 개인 키로 인증서를 서명하며, 이를 통해 위변조 여부를 검증할 수 있다.
관련 항목
- 공개 키 인프라(PKI)
- SSL/TLS
- 인증 기관(CA)
- ASN.1 및 DER 인코딩
- RFC 5280 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile)
- 디지털 서명
- Certificate Revocation List (CRL)
- Online Certificate Status Protocol (OCSP)