Hiện nay, các tổ chức tiêu chuẩn quốc tế như ITU-T, IETF,... đã ban hành các tiêu chuẩn liên quan đến chứng thư số. Các chuẩn này đã được xây dựng khá đầy đủ và tương đối đa dạng.
- ITU: Tiêu chuẩn chính cho chứng thư số dựa trên PKI là khuyến nghị
X.509 của ITU. Ngôn ngữ được sử dụng trong khuôn dạng chứng thư số X.509 là ASN-1. X.509 lần đầu tiên được công bố vào năm 1988 và phiên bản 5 mới nhất được ban hành tháng 8 năm 2005. Cùng với X.509, sau đó ISO/IEC cũng xuất bản các tiêu chuẩn tương tự có mã ISO/IEC 9594-8 với phiên bản 4 mới nhất năm 2001. X.509 định nghĩa mẫu các nội dung của một chứng thư số bao gồm các trường như: số phiên bản, số serial, ID chữ ký, tên chủ thể phát hành, thời hạn hiệu lực, tên chủ thể nhận chứng thư số… Trong đó có những trường là tùy chọn, mở rộng. Ví dụ trường mở rộng về chính sách cho phép đưa các chính sách riêng về sử dụng chứng thư số của nhà cung cấp. Từ phiên bản 4 của X.509 trở đi, khái niệm chứng thư “thuộc tính” (attribute) đã được bổ sung để nhà cung cấp (không được phép ban hành chứng thư số thông thường) có thể cho phép chủ thể chứng thư số thuộc tính truy nhập thông tin điều khiển nội dung chứng thư.
- IETF: đã phát triển một loạt các chuẩn (RFC) quản lý hoạt động trên
môi trường Internet của chứng thư số PKI dựa trên X.509. RFC 3280 là chuẩn được áp dụng nhiều nhất: Mẫu chứng thư số PKIX (PKIX X.509 Profile) nhằm mục đích tạo thuận lợi cho quá trình sử dụng chứng thư số X.509 trên môi trường Internet. RFC 3280 giới hạn một số tùy chọn trong X.509 như bắt buộc sử dụng cơ chế ký không thể giải mã ngược (non-reversible) hoặc việc lựa chọn kết hợp giữa thuật toán chữ ký số với hàm băm như sau: RSA với MD2; RSA với MD5; RSA với SHA-1; DSA với SHA-1 … Đối với chứng thư số an toàn,
Page 51
IETF ban hành chuẩn RFC 3039. Mẫu PKIX cũng được chuẩn hóa (RFC 3280) cho trường hợp X.509 CRL (danh sách chứng thư số bị thu hồi) và chứng thư số thuộc tính (RFC 3281)
- Chuẩn khác: Ngoài X.509, trên thế giới còn tồn tại một số chuẩn khác dành cho các ứng dụng riêng biệt. Một trong số đó là EMV - tên viết tắt từ 3 chữ cái đầu của ba hãng phát hành thẻ hàng đầu châu Âu và thế giới - Europay, MasterCard và VISA. Chuẩn EMV quy định quá trình tương tác ở mức vật lý, điện tử, dữ liệu và ứng dụng giữa thẻ IC và các thiết bị xử lý thẻ IC dành cho các phiên giao dịch tài chính. Sở dĩ chứng thư số EMV được xây dựng mà không áp dụng X.509 là vì nhu cầu phải rút ngắn tối thiểu độ dài của chứng thư.