Сертификат расширенной проверки - Extended Validation Certificate
Расширенная проверка сертификатов ( EV ) представляет собой сертификат , соответствующий X.509 , что доказывает юридическое лицо владельца и подписывается органом сертификата ключа , который может выдавать сертификаты EV. Сертификаты EV могут использоваться так же, как и любые другие сертификаты X.509, в том числе для защиты веб- коммуникаций с помощью HTTPS и для подписи программного обеспечения и документов. В отличие от сертификатов, проверенных доменом, и сертификатов проверки организации, сертификаты EV могут быть выпущены только подмножеством центров сертификации (ЦС) и требуют проверки юридической личности запрашивающего лица перед выдачей сертификата.
По состоянию на февраль 2021 года все основные веб-браузеры (Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari) имеют меню, в которых отображается статус сертификата EV и подтвержденная юридическая идентичность сертификатов EV. Мобильные браузеры обычно отображают сертификаты EV так же, как сертификаты проверки домена (DV) и проверки организации (OV). Из десяти самых популярных веб-сайтов в Интернете ни один не использует сертификаты электромобилей, и тенденция к их использованию не наблюдается.
Для программного обеспечения подтвержденная юридическая личность отображается пользователю операционной системой (например, Microsoft Windows) перед продолжением установки.
Сертификаты с расширенной проверкой хранятся в формате файла, определяемом и обычно используют то же шифрование, что и сертификаты , проверенные организацией, и сертификаты , проверенные доменом , поэтому они совместимы с большинством программного обеспечения серверов и пользовательских агентов.
Критерии для выдачи сертификатов EV определяются Руководством по расширенной проверке, установленным CA / Форумом браузеров .
Для выдачи сертификата расширенной проверки ЦС требует проверки личности запрашивающего объекта и его рабочего статуса с контролем над доменным именем и хост-сервером.
История
Введение CA / Browser Forum
В 2005 году Мелих Абдулхайоглу , генеральный директор Comodo Group , созвал первое собрание организации, которая стала CA / Browser Forum , в надежде улучшить стандарты выдачи сертификатов SSL / TLS. 12 июня 2007 г. CA / Browser Forum официально ратифицировал первую версию Руководства по расширенной проверке (EV) SSL, которая немедленно вступила в силу. Официальное одобрение положило конец более чем двухлетним усилиям и предоставило инфраструктуру для надежной идентификации веб-сайтов в Интернете. Затем, в апреле 2008 года, форум объявил о версии 1.1 руководящих принципов, основанной на практическом опыте своих членов CA и поставщиков прикладного программного обеспечения, полученного за месяцы, прошедшие с момента утверждения первой версии для использования.
Создание специальных индикаторов UI в браузерах
Большинство основных браузеров создали специальные индикаторы пользовательского интерфейса для страниц, загружаемых через HTTPS, защищенных сертификатом EV, вскоре после создания стандарта. Сюда входят Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. Кроме того, некоторые мобильные браузеры, включая Safari для iOS, Windows Phone, Firefox для Android, Chrome для Android и iOS, добавили такие индикаторы пользовательского интерфейса. Обычно браузеры с поддержкой EV отображают подтвержденную личность - обычно комбинацию названия организации и юрисдикции - содержащуюся в поле «Тема» сертификата EV.
В большинстве реализаций расширенный дисплей включает в себя:
- Название компании или юридического лица, владеющего сертификатом;
- Символ замка также в адресной строке, цвет которого меняется в зависимости от статуса безопасности веб-сайта.
Щелкнув символ замка, пользователь может получить дополнительную информацию о сертификате, включая имя центра сертификации, выдавшего сертификат EV.
Удаление специальных индикаторов UI
В мае 2018 года Google объявил о планах по переработке пользовательских интерфейсов Google Chrome, чтобы убрать акцент на сертификатах EV. Chrome 77, выпущенный в 2019 году, удалил указание сертификата EV из омнибокса, но статус сертификата EV можно просмотреть, щелкнув значок замка, а затем проверив имя юридического лица в разделе «сертификат». Firefox 70 удалил различие в омнибоксе или строке URL (сертификаты EV и DV отображаются аналогично только значком замка), но подробности о статусе сертификата EV доступны в более подробном представлении, которое открывается после щелчка по значку замка.
В Apple Safari на iOS 12 и MacOS Mojave (выпущенном в сентябре 2018 г.) удалено визуальное различие статуса электромобиля.
Критерии выдачи
Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать EV, и все центры сертификации во всем мире должны соблюдать одни и те же подробные требования к выдаче, которые направлены на:
- Установить юридическую личность, а также оперативное и физическое присутствие владельца веб-сайта;
- Установить, что заявитель является владельцем доменного имени или имеет исключительный контроль над доменным именем;
- Подтвердить личность и полномочия лиц, действующих от имени владельца веб-сайта, и что документы, относящиеся к юридическим обязательствам, подписаны уполномоченным должностным лицом;
- Ограничьте срок действия сертификата, чтобы обеспечить актуальность информации о сертификате. CA / B Forum также ограничивает максимальное повторное использование данных проверки домена и данных организации до 397 дней (не должно превышать 398 дней) с марта 2020 года.
За исключением сертификатов расширенной проверки для доменов .onion , в противном случае невозможно получить сертификат расширенной проверки с подстановочными знаками - вместо этого все полностью определенные доменные имена должны быть включены в сертификат и проверены центром сертификации.
Идентификация сертификата расширенной проверки
Сертификаты EV - это стандартные цифровые сертификаты X.509. Основной способ идентифицировать сертификат EV - обратиться к полю расширения политик сертификатов. Каждый эмитент использует свой идентификатор объекта (OID) в этом поле для идентификации своих сертификатов EV, и каждый OID документируется в Положении о практике сертификации эмитента. Как и в случае с корневыми центрами сертификации в целом, браузеры могут не распознавать всех издателей.
Сертификаты EV HTTPS содержат субъект с OID X.509 для jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.311.60.2.1.3), jurisdictionOfIncorporationStateOrProvinceName(OID: 1.3.6.1.4.1.311.60.2.1.2) (необязательно), jurisdictionLocalityName(OID: 1.3.6.1.4.1.311.60.2.1.1) (необязательно), businessCategory(OID: 2.5.4.15) и serialNumber(OID: 2.5.4.5) с serialNumberуказанием идентификатора у соответствующего государственного секретаря (США) или правительственного предприятия регистратора (за пределами США), а также идентификатора политики CA, чтобы программное обеспечение с поддержкой EV, такое как веб-браузер, могло их распознать. Этот идентификатор определяет сертификат EV и отличается от сертификата OV.
Протокол статуса онлайн-сертификата
Критерии для выдачи сертификатов расширенной проверки не требуют, чтобы выдающие центры сертификации немедленно поддерживали онлайн-протокол статуса сертификатов для проверки отзыва. Однако требование своевременного ответа на проверки отзыва со стороны браузера побудило большинство центров сертификации, которые раньше этого не делали, реализовать поддержку OCSP. Раздел 26-A критериев выдачи требует, чтобы центры сертификации поддерживали проверку OCSP для всех сертификатов, выпущенных после 31 декабря 2010 г.
Критика
Имена конфликтующих сущностей
Имена юридических лиц не уникальны, поэтому злоумышленник, который хочет выдать себя за юридическое лицо, может зарегистрировать другой бизнес с тем же именем (но, например, в другом штате или стране) и получить для него действительный сертификат, но затем использовать сертификат на олицетворение исходного сайта. В одной из демонстраций исследователь зарегистрировал компанию под названием «Stripe, Inc.». в Кентукки и показал, что браузеры отображают это аналогично тому, как они отображают сертификат платежной системы " Stripe, Inc. ", зарегистрированной в Делавэре . Исследователь утверждал, что демонстрационная установка заняла около часа его времени, 100 долларов США на судебные издержки и 77 долларов США на сертификат. Кроме того, он отметил, что «при достаточном количестве щелчков мышью [пользователь] может [просмотреть] город и штат [где учреждена организация], но ни один из них не полезен для обычного пользователя, и они, скорее всего, будут просто слепо доверять индикатор [Сертификат EV] ».
Доступность для малого бизнеса
Поскольку сертификаты EV продвигаются и сообщаются как знак заслуживающего доверия веб-сайта, некоторые владельцы малого бизнеса выражают обеспокоенность тем, что сертификаты EV дают чрезмерное преимущество для крупного бизнеса. Опубликованные проекты Руководства по электромонтажу исключили некорпоративные коммерческие предприятия, и первые сообщения в СМИ были сосредоточены на этом вопросе. Версия 1.0 Руководства по EV была пересмотрена с целью охвата некорпоративных ассоциаций, если они были зарегистрированы в признанном агентстве, что значительно увеличило количество организаций, имеющих право на получение сертификата расширенной проверки. Список сертификатов EV с ценой и сравнением характеристик доступен для малого бизнеса, чтобы выбрать рентабельный сертификат.
Эффективность против фишинговых атак с пользовательским интерфейсом безопасности IE7
В 2006 году исследователи из Стэнфордского университета и Microsoft Research провели исследование удобства использования дисплея электромобиля в Internet Explorer 7 . В их документе сделан вывод, что «участники, которые не прошли обучение функциям безопасности браузера, не заметили индикатор расширенной проверки и не превзошли контрольную группу», тогда как «участники, которых попросили прочитать файл справки Internet Explorer, с большей вероятностью классифицировали как реальные и поддельные сайты как законные ".
Сертификаты, подтвержденные доменом, изначально создавались центрами сертификации.
В то время как сторонники сертификатов EV утверждают, что они помогают против фишинговых атак, эксперт по безопасности Питер Гутманн заявляет, что новый класс сертификатов восстанавливает прибыль ЦС, которая была подорвана из-за гонки за дно, которая произошла среди эмитентов в отрасли. По словам Питера Гутманна, сертификаты EV не эффективны против фишинга, потому что сертификаты EV «не решают никаких проблем, которыми пользуются фишеры». Он предполагает, что крупные коммерческие центры сертификации ввели сертификаты электромобилей, чтобы вернуть старые высокие цены.