Altro articolo di origine accademica.

I certificati utilizzati da SSL sono generati secondo lo standard X.509.

X.509 nasce nel 1988 come standard per le PKI (Infrastrutture a chiave pubblica). Nella sua versione 3 (RFC 3280) un certificato di questo tipo viene rilasciato da una Certification Authority (CA), ovvero un organo competente che attribuisce ad una entità una chiave pubblica, associandole, e garantendo queste informazioni. Esistono molte CA e sono strutturate ad albero, ovvero una CA figlia è garantita da una CA padre e così via fino ad arrivare ad una CA root. Possiamo distinguere le CA in locali e globali strutturate ad albero in modo da avere la CA root non universalmente riconosciuta per le prime o a visibilità universale per le seconde. Il problema che si pone per le CA globali è individuare un’entità che garantisca per la CA root e lo stesso problema si risolve rispondendo: nessuno. E’ necessario che tali CA siano delle entità note, predominanti nel panorama attuale e che quindi la loro imponenza sia di per se garanzia per gli altri. I browser tipicamente hanno già in memoria alcune CA root quindi quando ci si trova di fronte all’accettazione di un certificato, risalgono la catena di CA fino a trovarne una nota. Questo tipo di certificati contengono le seguenti informazioni:

• Versione: Rappresenta la versione del formato del certificato;
• Numero di serie: E’ il numero univoco assegnato al certificato dell’utente dall’autorità di certificazione.
• Identificatore dell’algoritmo: Indica l’algoritmo utilizzato per firmare le informazione contenute nel certificato stesso.
• Fornitore: La CA che ha rilasciato e firmato il certificato.
• Periodo di validità: Il periodo di validità è indicato da due date; il certificato non è valido, né prima della prima data, né dopo la seconda.
• Oggetto: E’ l’utente a cui è stato rilasciato il certificato.
• Informazioni sulla chiave pubblica: E’ la chiave pubblica dell’utente, insieme con un identificatore che indica l’algoritmo per il quale si utilizza la chiave stessa.
• Firma: Message Authentication Code (MAC). Deriva dall’applicazione di una funzione  hash (usando come algoritmo o SHA-1 o MD-5) non invertibile a tutti i campi del certificato, a parte quello della firma, e dalla successiva codifica del risultato utilizzando la chiave privata dell’autorità di certificazione.

Le estensioni valide per questo tipo di certificati sono .CER, .DER, .PEM, .P7B, .P7C, .PFX, .P12.

Anche se quello descritto è l’utilizzo tipico di PKI è altrettanto vero che spesso non c’è bisogno che le garanzie per un certificato siano rilasciate da una autorità con visibilità globale, è quindi possibile che molte aziende costruiscano dei certificati selfmade destinati a dare una garanzia locale agli utilizzatori.