X.500 ist eine Reihe des Computers, der Standards vernetzt, die elektronische Verzeichnisdienstleistungen bedecken. Die X.500 Reihe wurde durch ITU-T früher bekannt als CCITT entwickelt, und hat zuerst 1988 genehmigt. Die Verzeichnisdienstleistungen wurden entwickelt, um die Voraussetzungen des X.400 elektronischen Postaustausches zu unterstützen und lookup zu nennen. ISO war ein Partner im Entwickeln der Standards, sie ins Offene Systemverbindungsgefolge von Protokollen vereinigend. ISO/IEC 9594 ist die entsprechende ISO Identifizierung.

X.500 Protokolle

Die durch X.500 definierten Protokolle schließen ein

• DAP (Verzeichniszugriffsprotokoll)
• DSP (Verzeichnissystemprotokoll)
• DISP (Verzeichnisinformationsbeschattungsprotokoll)
• DOP (Bindings betriebliches Verzeichnisverwaltungsprotokoll)

Weil diese Protokolle den OSI verwendet haben, der Stapel vernetzt, wurden mehrere Alternativen zu DAP entwickelt, um Internetkunden dem Zugang zum X.500 Verzeichnis mit dem TCP/IP zu erlauben, der Stapel vernetzt. Die wohl bekannteste Alternative zu DAP ist Lightweight Directory Access Protocol (LDAP). Während DAP und die anderen X.500 Protokolle jetzt den TCP/IP verwenden können, der Stapel vernetzt, bleibt LDAP ein populäres Verzeichniszugriffsprotokoll.

X.500 Datenmodelle

Das primäre Konzept von X.500 ist, dass es einzelnen Directory Information Tree (DIT), eine hierarchische Organisation von Einträgen gibt, die über einen oder mehr Server, genannt Directory System Agents (DSA) verteilt werden. Ein Zugang besteht aus einer Reihe von Attributen, jedem Attribut mit einem oder mehr Werten. Jeder Zugang hat einen einzigartigen Ausgezeichneten Namen, der durch das Kombinieren seines Relative Distinguished Name (RDN), eines oder mehr Attribute des Zugangs selbst und des RDNs von jedem der höheren Einträge bis zur Wurzel des DIT gebildet ist. Da LDAP ein sehr ähnliches Datenmodell zu diesem von X.500 durchführt, gibt es weitere Beschreibung des Datenmodells im Artikel über LDAP.

X.520 und X.521 stellen zusammen eine Definition von einer Reihe von Attributen und Gegenstand-Klassen zur Verfügung, die zu verwenden sind, um Leute und Organisationen als Einträge im DIT zu vertreten. Sie sind eines des am weitesten aufmarschierten weißen Seitendiagramms.

X.509, der Teil des Standards, der für ein Beglaubigungsfachwerk sorgt, wird jetzt auch außerhalb der X.500 Verzeichnisprotokolle weit verwendet. Es gibt ein Standardformat für Zertifikate des öffentlichen Schlüssels an.

Die Beziehung des X.500 Verzeichnisses und der X.509v3 Digitalzertifikate

Der aktuelle Gebrauch von X.509v3 Zertifikaten außerhalb des Verzeichnisses geladen direkt in Browser ist problematisch, sondern auch für unsere aktuelle globale Struktur für den elektronischen Handel notwendig, weil es sich und vor der zusätzlichen Sicherheit entwickelt hat, die durch die vorgesehene 2011-2014 Durchführung von NSTIC, ein Projekt des zwei bis drei Jahres Schutz der Digitalidentität im Kyberraum vorgesehen ist.

Die WWW Durchführung des elektronischen Handels von X.509v3 hat den ursprünglichen ISO Standardbeglaubigungsmechanismus umgangen, bemerkenswerte Namen im X.500 Verzeichnis zu binden.

Die Benutzern gegebene Präsentationsschicht war, dass der DNS Seite-Name "www.foobar.com" in einem Browser nachgeprüft wurde, deshalb Stiftung für Benutzer schaffend, dass sie die richtige Website über HTTPS erreicht hatten.

CA Certs werden in den Browser statisch geladen, und dem Benutzer werden weitere Wahlen gegeben, zu importieren, zu löschen, oder sich zu entwickeln, eine Person vertrauen Beziehung die geladenen Zertifikat-Behörden an und bestimmen, wie sich der Browser benehmen wird, wenn OCSP Revokationsserver unerreichbar sind.

So kann der Browser den SSL cert von der Website nachprüfen. Der bestimmte ausgezeichnete Name wird in den unterworfenen Feldern des Zertifikats gelegen. X.509v3 kann andere Erweiterungen abhängig von der Gemeinschaft von Interesse außer internationalen Domainnamen enthalten. Für den breiten Internetgebrauch RFC5280 beschreibt PKIX ein Profil für Felder, die für Anwendungen wie Encrypted-E-Mail nützlich sein können.

Ein Endbenutzer, der sich auf die Echtheit eines Zertifikats verlässt, das einem Browser oder E-Mail wird präsentiert, hat keine einfache Weise, ein geschmiedetes Zertifikat zu vergleichen, das wird präsentiert (und wahrscheinlich einen Browser auszulösen, der warnt) mit einem gültigen Zertifikat, das nur zum DN oder Ausgezeichneten Namen gebunden werden kann, der entworfen wurde, um in einem DIT nachgeschlagen zu werden.

Das Zertifikat selbst ist öffentlich und überlegt, um unschmiedbar zu sein, und kann deshalb auf jede Weise verteilt werden, aber eine verbundene Schwergängigkeit zu einer Identität kommt im Verzeichnis vor. Schwergängigkeit ist, was das Zertifikat zur Identität verbindet.

Das einfache Homographic-Zusammenbringen von Domainnamen ist auf Phishing-Angriffe hinausgelaufen, wo ein Gebiet scheinen kann, legitim zu sein, aber nicht ist.

Wenn ein X.509v3 Zertifikat zu einem ausgezeichneten Namen einer gültigen Organisation innerhalb des Verzeichnisses gebunden wird, dann kann eine einfache Kontrolle in Rücksichten auf die Echtheit des Zertifikats durch einen Vergleich damit ausgeübt werden, was dem Browser damit präsentiert wird, was im Verzeichnis da ist.

Einige Optionen bestehen wirklich, um Notare zu überprüfen, um zu sehen, ob ein Zertifikat nur kürzlich gesehen worden ist, und deshalb wahrscheinlicher in Verlegenheit gebracht worden zu sein. Wenn dem cert wahrscheinlich vertraut wird und scheitert, weil der Domainname eine geringe Fehlanpassung ist, wird es dann im Browser am Anfang scheitern, aber wird dann dem Notar-Vertrauen unterworfen, das dann die Browser-Warnung umgehen kann.

Ein gültiger organisatorischer Zugang. solcher weil wird o=FoobarWidgets auch einen verbundenen alphanumerischen OID haben, und ist "Identität dichtgemacht" durch ANSI gewesen, eine andere Schicht der Versicherung bezüglich der Schwergängigkeit des Zertifikats zur Identität zur Verfügung stellend. Wenn alle Bestandteile des Systems funktionell sind, dann ist die resultierende Sicherheitsversicherung an NIST 800-63 Niveau 3.

Neue Ereignisse (2011) haben eine Drohung von unbekannten Schauspielern in Nationsstaaten angezeigt, die Zertifikate geschmiedet haben. Das wurde getan, um einen MITM-Angriff gegen politische Aktivisten in Syrien zugreifender Facebook über das Web zu schaffen. Das hätte eine Browser-Warnung ausgelöst.

Ein verschiedener Angriff wurde gegen Comodo, eine Zertifikat-Autorität verwendet, die auf geschmiedete Zertifikate hinausgelaufen ist, die an hohen Profil-Kommunikationswebsites geleitet wurden. Das hat einen Notfleck zu Hauptbrowsern nötig gemacht. Diese Zertifikate wurden wirklich von einer vertrauten Zertifikat-Autorität ausgegeben, und deshalb hätte ein Benutzer keine Warnung gehabt, wenn sie zu einer gefälschten Website im Vergleich mit dem Ereignis von Syrien gegangen wären, wo das Zertifikat, einschließlich des Ersetzens der Altstimme Palo für die Palo Altstimme grob geschmiedet wurde. und falsche Seriennummern.

Einige Projekte haben vorgehabt, PHI, geschützte Gesundheitsinformation auszutauschen (der, wie man betrachtet, hoch HIPAA empfindlich ist), kann X.509v3 certs über einen CERT DNS Quellenaufzeichnung, oder über LDAP zu einem X.500 [2008] Verzeichnis erhalten. Das Problem eines herrischen bindet dann wird in RFCs ausführlich berichtet, der mit der Genauigkeit der DNS gesicherten Information durch das Unterzeichnen vor der Wurzel mit DNSSEC verbunden ist.

Das Konzept von Wurzelnamenservern ist eine Quelle des Hauptstreits in der Internetgemeinschaft gewesen, aber für DNS wird größtenteils aufgelöst. Wie man traditionell gedacht hat, hat der mit X.500 vereinigte Namenraum mit einer nationalen Namengeben-Autorität angefangen, die die ISO/ITU-Annäherung an globale Systeme mit der nationalen Darstellung widerspiegelt. So werden verschiedene Länder ihre eigenen einzigartigen X.500 Dienstleistungen schaffen. Die Vereinigten Staaten. X.500 wurde 1998 privatisiert, als die amerikanische Regierung nicht mehr X.500 oder DNS Registrierung außerhalb bekannter Regierungsstellen angeboten hat. Das X.500 Versuchsprojekt ist in der Entwicklung im kommerziellen Raum gewesen, und die Technologie setzt fort, in Hauptinstallationen von Millionen von Benutzern innerhalb von korporativen Datenzentren, und innerhalb der amerikanischen Regierung für credentialing da zu sein.

Liste von X.500 Reihe-Standards

Kritik

Die Autoren von RFC 2693 (bezüglich SPKI) bemerken, dass "Der ursprüngliche X.500-Plan jemals unwahrscheinlich ist sich zu verwirklichen. Sammlungen von Verzeichniseinträgen werden... wertvoll oder sogar vertraulich von denjenigen betrachtet, die die Listen besitzen, und werden wahrscheinlich zur Welt in der Form eines X.500 Verzeichnissubbaums nicht veröffentlicht." und dass "Die X.500 Idee von einem ausgezeichneten Namen (ein einzelner, allgemein einzigartiger Name, den jeder verwenden konnte, als er sich auf eine Entität bezogen hat) auch wahrscheinlich nicht vorkommen wird."

"X.500 ist zu kompliziert, um auf Arbeitsflächen und über das Internet zu unterstützen, so wurde LDAP geschaffen, um diesen Dienst 'für den Rest von uns' zur Verfügung zu stellen."

Links

• X500Standard.com Die X.500 Gemeinschaftsseite, die sowohl ein Handbuch zum X.500 Standard als auch ein Behältnis für die vorhandene und neue Arbeit ist, die auf dem Standard wird ausführt.