Аутентифікація на основі цифрових сертифікатів.

В цьому випадку окрім перевіряючої та перевіряємої сторони в процесі аутентифікації приймає участь третя сторона, так званий “арбітр”, якому довіряють обидві сторони. “Арбітр” зберігає відкриті ключі клієнтів і на основі механізму цифрових сертифікатів гарантує відповідність відкритого ключа суб’єкту. Така схема використовується в асиметричних системах, і аутентифікація виконується на основі відкритих ключів користувачів, що пересилаються за допомогою цифрових сертифікатів.

Міжнародним союзом телекомунікації в 1988 році був опублікований стандарт ITU-T X.509 (раніше CCITT X.509) або ISO/IEC/ITU 9594-8, як частина рекомендацій Каталогів X.500. Він визначав стандартний формат сертифікатів X.509.

Формат сертифіката в стандарті 1988 року називався форматом версії 1 (v1). Коли в 1993 році X.500 був виправлений та доповнений, до сертифіката додали два додаткові поля, результатом цього став формат версії 2 (v2). Ці два поля могли використовуватися для підтримки контролю доступу до каталогів.

В цьому ж 1993 році були визначені стандарти для Internet Privacy Enhanced Mail (PEM). Вони включали в себе специфікацію інфраструктури відкритих ключів, що базувалась на сертифікатах X.509 v1 [RFC 1422]. Досвід, набутий при спробах розгорнути RFC 1422, довів, що формати сертифікатів v1 і v2 дещо недостатні. Найбільш важливим було те, що вимагалось більше полів для того, щоб передавати інформацію, яка була необхідна при реалізації проект PEM. Відповідно до нових вимог, ISO/IEC/ITU і ANSI X9 розробили 3 версію X.509 (v3) формату сертифікатів. Формат v3 розширює формат v2 за допомогою додаткових полів розширень. Конкретні типи полів розширень можуть бути описані в стандартах або можуть визначатись і реєструватись будь-якою організацією. У Червні 1996 стандартизація основного формату v3 була завершена. Проте роботи над уточненням та розширенням цього формату ведуться і зараз.

ISO/IEC/ITU і ANSI X9 також розробили стандартні розширення для використання в полях розширень. Ці розширення можуть містити такі дані, як додаткова інформація для ідентифікації суб’єкта, інформація атрибутів ключів, інформація політики сертифікації і обмеження маршруту сертифікатів.