Сертификат Extended Validation
Сертификат EV SSL (англ. Extended Validation — расширенная проверка) — вид сертификата, для получения которого необходимо подтвердить существование компании, на имя которой он оформляется в центре сертификации, а также факт владения этой компанией сертифицированными доменными именами.
Браузеры информировали пользователей о том, что у веб-сайта есть EV SSL сертификат. Они либо отображали вместо доменного имени название компании, либо размещали название компании рядом. Тем не менее, позднее разработчики браузеров объявили о том, что у них появились планы отключить эту функцию[1].
EV-сертификаты используют те же самые способы защиты, что и сертификаты DV, IV и OV: более высокий уровень защиты обеспечивается за счет необходимости подтверждения существования компании в центре сертификации.
Критерии выдачи сертификатов EV определены специальным документом: Guidelines for Extended Validation[2] (Руководством по расширенной проверке), в настоящее время (по состоянию на 1 августа 2019 г.) версия этого документа — 1.7.0. Руководство разработано CA/Browser Forum, организацией, членами которой являются центры сертификации и поставщики программного обеспечения для интернета, а также представители юридических и аудиторских профессий[3].
История
правитьВ 2005 году генеральный директор Comodo Group Мелих Абдулхайоглу созвал первое совещание организации, которая впоследствии станет CA/Browser Forum. Целью совещания было улучшить стандарты выдачи сертификатов SSL/ TLS[4]. 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Руководства для расширенной проверки, документ вступил в силу немедленно. Официальное одобрение привело к завершению работы по предоставлению инфраструктуры для идентификации доверенных веб-сайтов в Интернете. Затем, в апреле 2008 года, CA/Browser Forum объявил о появлении новой версии Руководства (1.1). Новая версия была основана на опыте центров сертификации и производителей программного обеспечения.
Мотивация к получению сертификата
правитьВажной мотивацией для использования цифровых сертификатов с SSL / TLS — увеличение доверия к онлайн-транзакциям. Для этого требуется, чтобы операторы веб-сайтов проходили проверку для получения сертификата.
Однако коммерческое давление побудило некоторые центры сертификации ввести сертификаты более низкого уровня (domain-validation). Сертификаты domain validation существовали до extended validation и, как правило, их получение требует лишь некоторого подтверждения контроля домена. В частности, сертификаты domain validation не утверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя на самом сайте может быть написано, что он принадлежит юридическому лицу.
Сначала пользовательские интерфейсы большинства браузеров не различали сертификаты domain validation и extended validation. Поскольку любое успешное соединение SSL / TLS приводило к появлению зелёного значка замка в большинстве браузеров, пользователи вряд ли знали, подтверждён ли сайт extended validation, или нет, однако по состоянию на октябрь 2020 года, все основные браузеры убрали значки EV. В результате мошенники (включая тех, которые занимаются фишингом) могли использовать TLS, чтобы повысить доверие к своим веб-сайтам. Пользователи браузеров могут проверить личность владельцев сертификатов, изучив сведения о выданном сертификате, которые указаны в нём (включая название организации и её адрес).
Сертификаты EV проверяются на соответствие как базовым требованиям, так и на соответствие расширенным требованиям. Необходима ручная проверка доменных имен, запрошенных заявителем, проверка по официальным правительственным источникам, проверка по независимым источникам информации и телефонные звонки в компанию. Если сертификат был выдан, зарегистрированный центром сертификации серийный номер предприятия, а также физический адрес сохраняются в нём.
Сертификаты EV предназначены для повышения уверенности пользователей в том, что оператор веб-сайта является действительно существующей организацией[5].
Тем не менее, по-прежнему существует опасение, что тот же недостаток ответственности, который привел к утрате доверия общественности к сертификатом DV, приведет к тому, что будет утрачена ценность сертификатов EV[6].
Критерии выдачи
правитьТолько центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать сертификаты EV[7], и все центры должны следовать требованиям к выпуску, которые направлены на:
- Установление существования юридического лица и владельца сайта
- Установление того факта, что юридическое лицо действительно владеет этим доменом
- Подтверждение личности владельца сайта и полномочий лиц, действующих от имени владельца сайта.
За исключением[8] сертификатов EV для доменов .onion, невозможно получить wildcard-сертификат с Extended Validation — вместо этого все полные доменные имена должны быть включены в сертификат и проверены центром сертификации[9].
Пользовательский интерфейс
правитьБраузеры, поддерживающие EV, отображают информацию о том, что есть EV-сертификат: обычно пользователю показывается название и расположение организации при просмотре информации о сертификате. Браузеры Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera и Google Chrome поддерживают EV.
Правила расширенной проверки требуют, чтобы участвующие центры сертификации назначали определённый идентификатор EV после того, как центр сертификации завершил независимый аудит и выполнил другие критерии. Браузеры запоминают этот идентификатор, сопоставляют идентификатор EV в сертификате с тем, который находится в браузере для рассматриваемого центра сертификации: если они совпадают, сертификат признаётся верным. Во многих браузерах о наличии сертификата EV сигнализирует:
- Название компании или организации, которой принадлежит сертификат.
- Отличительный цвет, обычно зелёный, отображаемый в адресной строке, который показывает, что сертификат был получен (по мере увеличения распространения HTTPS, браузеры отказываются от зелёного цвета в адресной строке, например, так сделал Google Chrome[10]).
- Символ «замок», также в адресной строке (возможно, браузеры будут отказываться от отображения этого символа[10]).
Нажав на «замок», вы можете получить больше информации о сертификате, включая название центра сертификации, который выдал сертификат EV.
Поддержка
правитьСледующие браузеры определяют EV сертификат:[11]:
- Microsoft Edge 12+
- Google Chrome 1.0+
- Internet Explorer 7.0+
- Firefox 3+
- Safari 3.2+
- Opera 9.5+
Поддерживаемые браузеры мобильных устройств
править- Safari для iOS
- браузер Windows Phone
- Firefox для Android
- Chrome для Android и iOS
Поддерживаемые веб-сервера
правитьРасширенная проверка поддерживает все веб-серверы, если они поддерживают HTTPS.
Расширенная проверка сертификата идентификации
правитьСертификаты EV — стандартные цифровые сертификаты X.509. Основным способом идентификации сертификата EV является обращение к полю Certificate Policies. Каждый центр, выпускающий сертификат, использует свой идентификатор (OID) для идентификации своих сертификатов EV, и каждый OID документирован в центре сертификации. Как и в случае корневых центров сертификации, браузеры могут не распознавать всех тех, кто выпускает сертификаты.
Issuer | OID | Certification Practice Statement |
---|---|---|
Actalis | 1.3.159.1.17.1
|
Actalis CPS v2.3, |
AffirmTrust | 1.3.6.1.4.1.34697.2.1
|
AffirmTrust CPS v1.1, p. 4 |
1.3.6.1.4.1.34697.2.2
| ||
1.3.6.1.4.1.34697.2.3
| ||
1.3.6.1.4.1.34697.2.4
| ||
A-Trust | 1.2.40.0.17.1.22
|
a.sign SSL EV CPS v1.3.4 |
Buypass | 2.16.578.1.26.1.3.3
|
Buypass Class 3 EV CPS |
Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2
|
Camerfirma CPS v3.2.3 |
1.3.6.1.4.1.17326.10.8.12.1.2
| ||
Comodo Group | 1.3.6.1.4.1.6449.1.2.1.5.1
|
Comodo EV CPS, p. 28 |
DigiCert | 2.16.840.1.114412.2.1
|
DigiCert EV CPS v. 1.0.3, p. 56 |
2.16.840.1.114412.1.3.0.2
| ||
DigiNotar (нерабочий[12]) | 2.16.528.1.1001.1.1.1.12.6.1.1.1
|
N/A |
D-TRUST | 1.3.6.1.4.1.4788.2.202.1 | D-TRUST CP |
E-Tugra | 2.16.792.3.0.4.1.1.4
|
E-Tugra Certification Practice Statement (CPS) (недоступная ссылка), p. 2 |
Entrust | 2.16.840.1.114028.10.1.2
|
Entrust EV CPS |
ETSI | 0.4.0.2042.1.4
|
ETSI TS 102 042 V2.4.1, p. 18 |
0.4.0.2042.1.5
| ||
Firmaprofesional | 1.3.6.1.4.1.13177.10.1.3.10
|
SSL Secure Web Server Certificates, p. 6 |
GeoTrust | 1.3.6.1.4.1.14370.1.6
|
GeoTrust EV CPS v. 2.6, p. 28 |
GlobalSign | 1.3.6.1.4.1.4146.1.1
|
GlobalSign CP/CPS Repository |
Go Daddy | 2.16.840.1.114413.1.7.23.3
|
Go Daddy CP/CPS Repository |
Izenpe | 1.3.6.1.4.1.14777.6.1.1
|
DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Архивная копия от 30 апреля 2015 на Wayback Machine, |
Kamu Sertifikasyon Merkezi | 2.16.792.1.2.1.1.5.7.1.9
|
TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE |
Logius PKIoverheid | 2.16.528.1.1003.1.2.7
|
CPS PA PKIoverheid Extended Validation Root v1.5 |
Network Solutions | 1.3.6.1.4.1.782.1.2.1.8.1
|
Network Solutions EV CPS v. 1.1, 2.4.1 |
OpenTrust/DocuSign France | 1.3.6.1.4.1.22234.2.5.2.3.1
|
SSL Extended Validation CA Certificate Policy version |
QuoVadis | 1.3.6.1.4.1.8024.0.2.100.1.2
|
QuoVadis Root CA2 CP/CPS, p. 34 |
SECOM Trust Systems | 1.2.392.200091.100.721.1
|
SECOM Trust Systems EV CPS Архивная копия от 24 июля 2011 на Wayback Machine (in Japanese), p. 2 |
SHECA | 1.2.156.112570.1.1.3
|
SHECA EV CPS |
Starfield Technologies | 2.16.840.1.114414.1.7.23.3
|
Starfield EV CPS |
StartCom Certification Authority | 1.3.6.1.4.1.23223.2
|
StartCom CPS, no. 4 |
1.3.6.1.4.1.23223.1.1.1
| ||
Swisscom | 2.16.756.1.83.21.0
|
Swisscom Root EV CA 2 CPS (in German), p. 62 |
SwissSign | 2.16.756.1.89.1.2.1.1
|
SwissSign Gold CP/CPS |
T-Systems | 1.3.6.1.4.1.7879.13.24.1
|
CP/CPS TeleSec ServerPass v. 3.0, p. 14 |
Thawte | 2.16.840.1.113733.1.7.48.1 | Thawte EV CPS v. 3.3, p. 95 |
Trustwave | 2.16.840.1.114404.1.1.2.4.1
|
Trustwave EV CPS [1] |
Symantec (VeriSign) | 2.16.840.1.113733.1.7.23.6
|
Symantec EV CPS |
Verizon Business (formerly Cybertrust) | 1.3.6.1.4.1.6334.1.100.1
|
Cybertrust CPS v.5.2 Архивная копия от 15 июля 2011 на Wayback Machine, p. 20 |
Wells Fargo | 2.16.840.1.114171.500.9
|
WellsSecure PKI CPS [2] |
WoSign | 1.3.6.1.4.1.36305.2
|
WoSign CPS V1.2.4, p. 21 |
Критика
правитьДоступность малому бизнесу
правитьСертификаты EV задумывались как способ подтвердить надежность сайта[13], но некоторые малые компании считали[14], что сертификаты EV могут дать преимущество только крупному бизнесу. Пресса заметила, что есть помехи в получении сертификата[14]. Версия 1.0 была пересмотрена, разрешив регистрацию EV-сертификатов в том числе и малым предприятиям, что позволило увеличить количество выданных сертификатов.
Эффективность против фишинговых атак
правитьВ 2006 году ученые Стэнфордского университета и Microsoft Research провели исследования, касающиеся того, как отображались сертификаты EV[15] в Internet Explorer 7. Согласно результатам исследования, «люди, которые не разбирались в браузере, не обратили внимания на EV SSL, и не смогли получить результат, который был бы лучше, чем у контрольной группы». В то же время «участники, которых попросили прочитать файл Help, хотели признать правильными как настоящие сайты, так и фальшивые».
Мнение эксперта об эффективности EV в борьбе с фишингом
правитьКогда говорят о EV, заявляют, что эти сертификаты помогают защититься от фишинга[16], но новозеландский эксперт Питер Гутман считает, что на самом деле эффект в борьбе с фишингом минимален. По его мнению, сертификаты EV — просто способ заставить заплатить больше денег[17].
Похожие названия компаний
правитьНазвания компаний могут совпадать. Атакующий может зарегистрировать свою компанию с тем же названием, создать SSL сертификат, и сделать сайт, похожий на оригинальный. Ученый создал компанию «Stripe, Inc.» в Kентукки и заметил, что надпись в браузере очень похожа на надпись компании Stripe, Inc, находящейся в Делавэре. Ученый подсчитал: зарегистрировать такой сертификат стоило ему всего 177 долларов (100 долларов за регистрацию компании и 77 долларов за сертификат). Он заметил, что с помощью нескольких кликов мыши можно посмотреть адрес регистрации сертификата, но большинство пользователей не будут делать этого: они просто обратят внимание на адресную строку браузера[18].
EV-сертификаты для подписи кода
правитьДругим применением EV-сертификатов помимо защиты сайтов является подпись кода программ, приложений и драйверов. При помощи специализированного EV Code Signing сертификата разработчик подписывает свой код, что подтверждает его авторство и делает невозможным внесение не авторизованных изменений.
В современных версиях ОС Windows попытка запуска исполняемых файлов без подписи Code Signing приводит к отображению окна предупреждения защитного компонента SmartScreen о неподтверждённом издателе. Многие пользователи на этом этапе, опасаясь небезопасного источника, могут отказаться от установки программы, поэтому наличие подписи EV-сертификатом Code Signing увеличивает количество успешных инсталляций.
См. также
правитьПримечания
править- ↑ Catalin Cimpanu. Chrome 77 released with no EV indicators, contact picker, permanent Guest Mode (англ.). ZDNet. Дата обращения: 18 ноября 2019. Архивировано 8 августа 2020 года.
- ↑
- ↑
- ↑ Larry Seltzer. How Can We Improve Code Signing? eWEEK. Дата обращения: 23 августа 2019.
- ↑ William Hendric. What is an EV SSL certificate? Comodo. Дата обращения: 8 января 2019. Архивировано 19 января 2019 года.
- ↑ Hagai Bar-El. The Inevitable Collapse of the Certificate Model . Hagai Bar-El on Security. Дата обращения: 8 января 2019. Архивировано из оригинала 31 июля 2020 года.
- ↑
Ben Wilson. Audit Criteria (англ.). CAB Forum. Дата обращения: 23 августа 2019. Архивировано 22 января 2021 года.
- ↑ Jeremy Rowley. Ballot 144 – Validation rules for .onion names; Appendix F section 4 . CA/Browser Forum. Дата обращения: 6 марта 2017. Архивировано 16 октября 2015 года.
- ↑ Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 . CA/Browser Forum (16 октября 2014). — «Wildcard certificates are not allowed for EV Certificates.» Дата обращения: 15 декабря 2014. Архивировано 8 марта 2021 года.
- ↑ 1 2 Emily Schechter. Evolving Chrome's security indicators (англ.). Chromium Blog. Дата обращения: 8 января 2019. Архивировано 8 января 2019 года.
- ↑ What browsers support Extended Validation (EV) and display an EV indicator? Symantec. Дата обращения: 28 июля 2014. Архивировано из оригинала 31 декабря 2015 года.
- ↑ Анатолий Ализар. DigiNotar был полностью взломан . «Хакер» (1 ноября 2012). Дата обращения: 26 августа 2019. Архивировано 26 августа 2019 года.
- ↑ Evers, Joris IE 7 gives secure Web sites the green light . CNet (2 февраля 2007). — «The colored address bar, a new weapon in the fight against phishing scams, is meant as a sign that a site can be trusted, giving Web surfers the green light to carry out transactions there.» Дата обращения: 27 февраля 2010. Архивировано 6 сентября 2008 года.
- ↑ 1 2 Richmond, Riva (2006-12-19). "Software to Spot 'Phishers' Irks Small Concerns". The Wall Street Journal. Архивировано из оригинала 15 апреля 2008. Дата обращения: 27 февраля 2010.
- ↑ Jackson, Collin; Daniel R. Simon; Desney S. Tan; Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks" (PDF). Usable Security 2007. Архивировано (PDF) 14 марта 2021. Дата обращения: 8 января 2019.
- ↑ Luke Christou. SSL certificates aren’t enough – businesses need extended validation to prove legitimacy (англ.). Verdict (30 июля 2019). Дата обращения: 26 августа 2019. Архивировано 26 августа 2019 года.
- ↑ Book "Engineering Security" / Peter Gutmann.
- ↑ Goodin, Dan Nope, this isn’t the HTTPS-validated Stripe website you think it is (амер. англ.). Ars Technica (12 декабря 2017). Дата обращения: 19 декабря 2018. Архивировано 19 декабря 2018 года.
Ссылки
править- Unghost, Alena159, Harry, Anticisco Freeman, Valery Ledovskoy, mozcolonslashslasha. Как мне узнать, является ли мое соединение с веб-сайтом безопасным? | Справка Firefox (рус.)
Для улучшения этой статьи желательно:
|