Certificatul EV SSL ( Extended Validation - verificare extinsă) este un tip de certificat, pentru care este necesar să se confirme existența companiei în numele căreia este emis în autoritatea de certificare , precum și faptul că această companie deține un domeniu certificat. nume.
Browserele au informat utilizatorii că site-ul web are un certificat EV SSL. Fie au afișat numele companiei în loc de numele domeniului, fie au plasat numele companiei unul lângă altul. Cu toate acestea, ulterior dezvoltatorii de browsere au anunțat că au intenționat să dezactiveze această caracteristică [1] .
Certificatele EV folosesc aceleași metode de securitate ca și certificatele DV, IV și OV: un nivel mai ridicat de securitate este asigurat de necesitatea confirmării existenței companiei în autoritatea de certificare.
Criteriile de eliberare a certificatelor EV sunt definite de un document special: Ghid pentru validarea extinsă [2] (Orientări pentru validarea extinsă), versiunea curentă (de la 1 august 2019) a acestui document este 1.7.0. Orientările au fost elaborate de CA/Browser Forum, o organizație a cărei membri include autorități de certificare și furnizori de software pe internet, precum și membri ai profesiilor juridice și de audit [3] .
În 2005, CEO -ul Comodo Group , Melih Abdulhayoglu , a convocat prima întâlnire a ceea ce va deveni Forumul CA/Browser. Scopul întâlnirii a fost îmbunătățirea standardelor de emitere a certificatelor SSL/TLS [4] . La 12 iunie 2007, Forumul CA/Browser a ratificat oficial prima versiune a Ghidurilor de revizuire extinsă, iar documentul a intrat în vigoare imediat. Aprobarea oficială a dus la finalizarea lucrărilor de furnizare a infrastructurii pentru identificarea site-urilor web de încredere pe Internet. Apoi, în aprilie 2008, Forumul CA/Browser a anunțat o nouă versiune a Ghidului (1.1). Noua versiune sa bazat pe experiența autorităților de certificare și a producătorilor de software.
O motivație importantă pentru utilizarea certificatelor digitale cu SSL/TLS este creșterea încrederii în tranzacțiile online. Acest lucru necesită ca operatorii de site-uri web să fie verificați pentru a obține un certificat.
Cu toate acestea, presiunea comercială a determinat unele CA să introducă certificate de nivel inferior (validare de domeniu). Certificatele de validare a domeniului existau înainte de validarea extinsă și, de obicei, necesită doar o dovadă a controlului domeniului pentru a fi obținute. În special, certificatele de validare a domeniului nu precizează că persoana juridică dată are vreo relație cu domeniul, deși site-ul însuși poate spune că aparține persoanei juridice.
La început, interfețele de utilizator ale majorității browserelor nu făceau distincție între validarea domeniului și certificatele de validare extinsă . Deoarece orice conexiune SSL/TLS reușită a dus la apariția unei pictograme de lacăt verde în majoritatea browserelor, este puțin probabil ca utilizatorii să știe dacă un site a avut validare extinsă sau nu, cu toate acestea, din octombrie 2020, toate browserele majore au eliminat pictogramele EV. Drept urmare, escrocii (inclusiv cei implicați în phishing ) ar putea folosi TLS pentru a crește încrederea în site-urile lor web. Utilizatorii browserului pot verifica identitatea deținătorilor de certificate examinând informațiile despre certificatul emis care sunt specificate în acesta (inclusiv numele organizației și adresa acesteia).
Certificarile EV sunt validate atât în funcție de cerințele de bază, cât și de cerințele avansate. Sunt necesare verificarea manuală a numelor de domenii solicitate de solicitant, verificarea față de surse oficiale guvernamentale, verificarea față de surse independente de informații și apeluri telefonice către companie. Dacă certificatul a fost eliberat, numărul de serie al întreprinderii înregistrat de autoritatea de certificare, precum și adresa fizică, sunt stocate în acesta.
Certificatele EV au scopul de a crește încrederea utilizatorilor că un operator de site-uri web este o entitate cu adevărat existentă [5] .
Cu toate acestea, există încă îngrijorarea că aceeași lipsă de responsabilitate care a dus la pierderea încrederii publicului în certificatul DV va duce la pierderea valorii certificatelor EV [6] .
Numai CA auditate calificate de terți pot oferi certificate EV [7] și toate CA trebuie să respecte cerințele de emitere care urmăresc să:
Cu excepția [8] certificatelor EV pentru domeniile .onion , nu este posibil să obțineți un certificat wildcard cu Extended Validation - în schimb, toate FQDN-urile trebuie incluse în certificat și validate de un CA [9] .
Browserele care acceptă EV afișează informații că există un certificat EV: de obicei, utilizatorului i se arată numele și locația organizației atunci când vizualizează informații despre certificat. Browserele Microsoft Internet Explorer , Mozilla Firefox , Safari , Opera și Google Chrome acceptă EV.
Regulile de validare extinsă impun CA participante să atribuie un anumit ID EV după ce CA a finalizat un audit independent și a îndeplinit alte criterii. Browserele își amintesc acest identificator, potrivesc identificatorul EV din certificat cu cel din browser pentru autoritatea de certificare în cauză: dacă se potrivesc, certificatul este recunoscut ca valid. În multe browsere, prezența unui certificat EV este semnalată de:
Făcând clic pe „blocare”, puteți obține mai multe informații despre certificat, inclusiv numele autorității de certificare care a emis certificatul EV.
Următoarele browsere definesc un certificat EV: [11] :
Validarea extinsă acceptă toate serverele web atâta timp cât acceptă HTTPS .
Certificatele EV sunt certificate digitale standard X.509 . Principala modalitate de a identifica un certificat EV este să faceți referire la câmpul Politici de certificat . Fiecare autoritate emitentă a certificatelor își folosește identificatorul (OID) pentru a-și identifica certificatele EV, iar fiecare OID este documentat de autoritatea de certificare. Ca și în cazul CA-urilor rădăcină, este posibil ca browserele să nu recunoască toți cei care emit certificate.
| Emitentul | OID | Declarație de practică de certificare |
|---|---|---|
| Actalis | 1.3.159.1.17.1 | Actalis CPS v2.3 , |
| Afirmă Încrederea | 1.3.6.1.4.1.34697.2.1 | AffirmTrust CPS v1.1 , p. patru |
| 1.3.6.1.4.1.34697.2.2 | ||
| 1.3.6.1.4.1.34697.2.3 | ||
| 1.3.6.1.4.1.34697.2.4 | ||
| A-Încredere | 1.2.40.0.17.1.22 | a.semnați SSL EV CPS v1.3.4 |
| buypass | 2.16.578.1.26.1.3.3 | Buypass Clasa 3 EV CPS |
| Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2 | Camerfirma CPS v3.2.3 |
| 1.3.6.1.4.1.17326.10.8.12.1.2 | ||
| Grupul Comodo | 1.3.6.1.4.1.6449.1.2.1.5.1 | Comodo EV CPS , p. 28 |
| DigiCert | 2.16.840.1.114412.2.1 | DigiCert EV CPS v. 1.0.3 , pag. 56 |
| 2.16.840.1.114412.1.3.0.2 | ||
| DigiNotar (nefuncționează [12] ) | 2.16.528.1.1001.1.1.1.12.6.1.1.1 | N / A |
| D-ÎNCREDERE | 1.3.6.1.4.1.4788.2.202.1 | D-TRUST CP |
| E Tugra | 2.16.792.3.0.4.1.1.4 | Declarație de practică de certificare E-Tugra (CPS) (link indisponibil) , p. 2 |
| Încredinţa | 2.16.840.1.114028.10.1.2 | Entrust EV CPS |
| ETSI | 0.4.0.2042.1.4 | ETSI TS 102 042 V2.4.1 , p. optsprezece |
| 0.4.0.2042.1.5 | ||
| Firma profesionistă | 1.3.6.1.4.1.13177.10.1.3.10 | Certificate SSL Secure Web Server , p. 6 |
| GeoTrust | 1.3.6.1.4.1.14370.1.6 | GeoTrust EV CPS v. 2.6 , p. 28 |
| GlobalSign | 1.3.6.1.4.1.4146.1.1 | Depozitul GlobalSign CP/CPS |
| Hai tăticu | 2.16.840.1.114413.1.7.23.3 | Du-te Daddy CP/CPS Repository |
| Izenpe | 1.3.6.1.4.1.14777.6.1.1 | DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Arhivat 30 aprilie 2015 la Wayback Machine . |
| Kamu Sertification Merkezi | 2.16.792.1.2.1.1.5.7.1.9 | TÜBİTAK BİLGEM Kamu Sertification Merkezi SSL Sİ/SUE |
| Logius PKIoverheid | 2.16.528.1.1003.1.2.7 | CPS PA PKIoverheid Extended Validation Root v1.5 |
| Soluții de rețea | 1.3.6.1.4.1.782.1.2.1.8.1 | Network Solutions EV CPS v. 1.1 , 2.4.1 |
| OpenTrust/DocuSign France | 1.3.6.1.4.1.22234.2.5.2.3.1 | Versiunea politicii de certificat CA cu validare extinsă SSL |
| Quo Vadis | 1.3.6.1.4.1.8024.0.2.100.1.2 | QuoVadis Root CA2 CP/CPS , p. 34 |
| Sisteme de încredere SECOM | 1.2.392.200091.100.721.1 | SECOM Trust Systems EV CPS Arhivat 24 iulie 2011 la Wayback Machine (în japoneză), p. 2 |
| SHECA | 1.2.156.112570.1.1.3 | SHECA EV CPS |
| Tehnologii Starfield | 2.16.840.1.114414.1.7.23.3 | Starfield EV CPS |
| Autoritatea de certificare StartCom | 1.3.6.1.4.1.23223.2 | StartCom CPS , nr. patru |
| 1.3.6.1.4.1.23223.1.1.1 | ||
| swisscom | 2.16.756.1.83.21.0 | Swisscom Root EV CA 2 CPS (în germană), p. 62 |
| SwissSign | 2.16.756.1.89.1.2.1.1 | SwissSign Gold CP/CPS |
| T-Sisteme | 1.3.6.1.4.1.7879.13.24.1 | CP/CPS TeleSec Server Pass v. 3.0 , p. paisprezece |
| dezgheţ | 2.16.840.1.113733.1.7.48.1 | Thawte EV CPS v. 3.3 , p. 95 |
| val de încredere | 2.16.840.1.114404.1.1.2.4.1 | Trustwave EV CPS [1] |
| Symantec ( VeriSign ) | 2.16.840.1.113733.1.7.23.6 | Symantec EV CPS |
| Verizon Business (fostă Cybertrust) | 1.3.6.1.4.1.6334.1.100.1 | Cybertrust CPS v.5.2 Arhivat la 15 iulie 2011 la Wayback Machine , p. douăzeci |
| fântâni Fargo | 2.16.840.1.114171.500.9 | WellsSecure PKI CPS [2] |
| WoSign | 1.3.6.1.4.1.36305.2 | WoSign CPS V1.2.4 , p. 21 |
Certificatele EV au fost concepute ca o modalitate de a dovedi fiabilitatea unui site [13] , dar unele companii mici au considerat [14] că certificatele EV ar putea oferi doar un avantaj întreprinderilor mari. Presa a observat că există obstacole în obținerea unui certificat [14] . Versiunea 1.0 a fost revizuită pentru a permite înregistrarea certificatelor EV, inclusiv a întreprinderilor mici, ceea ce a crescut numărul de certificate emise.
În 2006, oamenii de știință de la Universitatea Stanford și Microsoft Research au efectuat cercetări asupra modului în care certificatele EV [15] au fost afișate în Internet Explorer 7 . Potrivit rezultatelor studiului, „oamenii care nu erau pricepuți la browser nu au acordat atenție EV SSL și nu au putut obține rezultate mai bune decât grupul de control”. În același timp, „participanții cărora li s-a cerut să citească fișierul de ajutor au dorit să accepte atât site-urile reale, cât și site-urile false ca fiind corecte”.
Când vorbesc despre EV, ei susțin că aceste certificate ajută la protejarea împotriva phishing-ului [16] , dar expertul din Noua Zeelandă Peter Gutman consideră că de fapt efectul în lupta împotriva phishing -ului este minim. În opinia sa, certificatele EV sunt doar o modalitate de a-i determina pe oameni să plătească mai mulți bani [17] .
Numele companiilor pot fi aceleași. Atacatorul își poate înregistra propria companie cu același nume, poate crea un certificat SSL și poate face ca site-ul să arate ca cel original. Omul de știință a creat compania „Stripe, Inc”. în Kentucky și a observat că inscripția din browser este foarte asemănătoare cu inscripția companiei Stripe, Inc, cu sediul în Delaware . Omul de știință a calculat că l-a costat doar 177 de dolari să înregistreze un astfel de certificat (100 de dolari pentru înregistrarea unei companii și 77 de dolari pentru un certificat). El a observat că, cu câteva clicuri de mouse, puteți vedea adresa de înregistrare a certificatului, dar majoritatea utilizatorilor nu vor face acest lucru: pur și simplu vor fi atenți la bara de adrese a browserului [18] .
O altă utilizare a certificatelor EV, pe lângă protejarea site-urilor, este semnarea codului de programe, aplicații și drivere. Cu ajutorul unui certificat specializat EV Code Signing, dezvoltatorul își semnează codul, ceea ce confirmă autoritatea acestuia și face imposibilă efectuarea de modificări neautorizate.
În versiunile moderne ale sistemului de operare Windows, o încercare de a rula fișiere executabile fără o semnătură de semnătură de cod are ca rezultat afișarea unei componente de securitate SmartScreen care avertizează despre un editor neconfirmat. Mulți utilizatori în această etapă, temându-se de o sursă nesigură, pot refuza să instaleze programul, așa că având un certificat EV Code Signing semnat crește numărul de instalări reușite. [19]
Ben Wilson. Criterii de audit . Forumul CAB. Preluat: 23 august 2019.