Сертификат EV SSL

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Сертификат EV SSL — сертификат, используемый для того, чтобы настроить поддержку HTTPS на сайте. Чтобы получить сертификат EV, необходимо подтверждение существования компании, на имя которой оформляется сертификат, в центре сертификации.

Браузеры показывают информацию о существовании компании либо перед доменным именем сайта, либо заменяя его.

EV-сертификаты используют те же самые способы защиты, что и сертификаты DV и OV: более высокий уровень защиты обеспечивается за счет необходимости подтверждения существования компании в центре сертификации.

Критерии выдачи сертификатов EV определены специальным документом: Guidelines for Extended Validation[1] (Руководством по расширенной проверке), в настоящее время (по состоянию на 1 августа 2019 г.) версия этого документа — 1.7.0. Руководство разработано CA/Browser Forum, организацией, членами которой являются центры сертификации и поставщики программного обеспечения для интернета, а также представители юридических и аудиторских профессий[2].

История[править | править код]

В 2005 году генеральный директор Comodo Group Мелих Абдулхайоглу созвал первое совещание организации, которая впоследствии станет CA/Browser Forum. Целью совещания было улучшить стандарты выдачи сертификатов SSL/ TLS[3]. 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Руководства для расширенной проверки, документ вступил в силу немедленно. Официальное одобрение привело к завершению работы по предоставлению инфраструктуры для идентификации доверенных веб-сайтов в Интернете. Затем, в апреле 2008 года, CA/Browser Forum объявил о появлении новой версии Руководства (1.1). Новая версия была основана на опыте центров сертификации и производителей программного обеспечения.

Мотивация к получению сертификата[править | править код]

Важной мотивацией для использования цифровых сертификатов с SSL / TLS — увеличение доверия к онлайн-транзакциям. Для этого требуется, чтобы операторы веб-сайтов проходили проверку для получения сертификата.

Однако коммерческое давление побудило некоторые центры сертификации ввести сертификаты более низкого уровня (domain-validation). Сертификаты domain validation существовали до extended validation и, как правило, их получение требует лишь некоторого подтверждения контроля домена. В частности, сертификаты domain validation не утверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя на самом сайте может быть написано, что он принадлежит юридическому лицу.

Сначала пользовательские интерфейсы большинства браузеров не различали сертификаты domain validation и extended validation. Поскольку любое успешное соединение SSL / TLS приводило к появлению зелёного значка замка в большинстве браузеров, пользователи вряд ли знали, подтверждён ли сайт extended validation, или нет (по состоянию на январь 2019 года Chrome убрал зеленые значки в браузере). В результате мошенники (включая тех, которые занимаются фишингом) могли использовать TLS, чтобы повысить доверие к своим веб-сайтам. Пользователи более поздних браузеров всегда могут проверить личность владельцев сертификатов, изучив сведения о выданном сертификате, которые указаны в нём (включая название организации и её адрес).

Сертификаты EV проверяются на соответствие как базовым требованиям, так и на соответствие расширенным требованиям. Необходима ручная проверка доменных имен, запрошенных заявителем, проверка по официальным правительственным источникам, проверка по независимым источникам информации и телефонные звонки в компанию. Если сертификат был выдан, зарегистрированный центром сертификации серийный номер предприятия, а также физический адрес сохраняются в нём.

Сертификаты EV предназначены для повышения уверенности пользователей в том, что оператор веб-сайта является действительно существующей организацией[4].

Тем не менее, по-прежнему существует опасение, что тот же недостаток ответственности, который привел к утрате доверия общественности к сертификатом DV, приведет к тому, что будет утрачена ценность сертификатов EV[5].

Критерии выдачи[править | править код]

Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать сертификаты EV[6], и все центры должны следовать требованиям к выпуску, которые направлены на:

  • Установление существования юридического лица и владельца сайта
  • Установление того факта, что юридическое лицо действительно владеет этим доменом
  • Подтверждение личности владельца сайта и полномочий лиц, действующих от имени владельца сайта.

За исключением[7] сертификатов EV для доменов .onion, невозможно получить wildcard-сертификат с Extended Validation — вместо этого все полные доменные имена должны быть включены в сертификат и проверены центром сертификации[8].

Пользовательский интерфейс[править | править код]

Браузеры с поддержкой EV отображают наличие сертификата — обычно сочетание названия организации и расположения организации. Браузеры Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera и Google Chrome поддерживают EV.

Правила расширенной проверки требуют, чтобы участвующие центры сертификации назначали определённый идентификатор EV после того, как центр сертификации завершил независимый аудит и выполнил другие критерии. Браузеры запоминают этот идентификатор, сопоставляют идентификатор EV в сертификате с тем, который находится в браузере для рассматриваемого центра сертификации: если они совпадают, сертификат признаётся верным. Во многих браузерах о наличии сертификата EV сигнализирует:

  • Название компании или организации, которой принадлежит сертификат.
  • Отличительный цвет, обычно зелёный, отображаемый в адресной строке, который показывает, что сертификат был получен (по мере увеличения распространения HTTPS, браузеры отказываются от зелёного цвета в адресной строке, например, так сделал Google Chrome[9]).
  • Символ «замок», также в адресной строке (возможно, браузеры будут отказываться от отображения этого символа[9]).

Нажав на «замок», вы можете получить больше информации о сертификате, включая название центра сертификации, который выдал сертификат EV.

Совместимость[править | править код]

Большинство сертификатов расширенной проверки совместимы со следующими браузерами[10]:

Поддерживаемые браузеры мобильных устройств[править | править код]

Поддерживаемые веб-сервера[править | править код]

Расширенная проверка поддерживает все веб-серверы, если они поддерживают HTTPS.

Расширенная проверка сертификата идентификации[править | править код]

Сертификаты EV — стандартные цифровые сертификаты X.509. Основным способом идентификации сертификата EV является обращение к полю Certificate Policies. Каждый центр, выпускающий сертификат, использует свой идентификатор (OID) для идентификации своих сертификатов EV, и каждый OID документирован в центре сертификации. Как и в случае корневых центров сертификации, браузеры могут не распознавать всех тех, кто выпускает сертификаты.

Issuer OID Certification Practice Statement
Actalis 1.3.159.1.17.1 Actalis CPS v2.3,
AffirmTrust 1.3.6.1.4.1.34697.2.1 AffirmTrust CPS v1.1, p. 4
1.3.6.1.4.1.34697.2.2
1.3.6.1.4.1.34697.2.3
1.3.6.1.4.1.34697.2.4
A-Trust 1.2.40.0.17.1.22 a.sign SSL EV CPS v1.3.4
Buypass 2.16.578.1.26.1.3.3 Buypass Class 3 EV CPS
Camerfirma 1.3.6.1.4.1.17326.10.14.2.1.2 Camerfirma CPS v3.2.3
1.3.6.1.4.1.17326.10.8.12.1.2
Comodo Group 1.3.6.1.4.1.6449.1.2.1.5.1 Comodo EV CPS, p. 28
DigiCert 2.16.840.1.114412.2.1 DigiCert EV CPS v. 1.0.3, p. 56
2.16.840.1.114412.1.3.0.2
DigiNotar (нерабочий[11]) 2.16.528.1.1001.1.1.1.12.6.1.1.1 N/A
D-TRUST 1.3.6.1.4.1.4788.2.202.1 D-TRUST CP
E-Tugra 2.16.792.3.0.4.1.1.4 E-Tugra Certification Practice Statement (CPS), p. 2
Entrust 2.16.840.1.114028.10.1.2 Entrust EV CPS
ETSI 0.4.0.2042.1.4 ETSI TS 102 042 V2.4.1, p. 18
0.4.0.2042.1.5
Firmaprofesional 1.3.6.1.4.1.13177.10.1.3.10 SSL Secure Web Server Certificates, p. 6
GeoTrust 1.3.6.1.4.1.14370.1.6 GeoTrust EV CPS v. 2.6, p. 28
GlobalSign 1.3.6.1.4.1.4146.1.1 GlobalSign CP/CPS Repository
Go Daddy 2.16.840.1.114413.1.7.23.3 Go Daddy CP/CPS Repository
Izenpe 1.3.6.1.4.1.14777.6.1.1 DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV,
Kamu Sertifikasyon Merkezi 2.16.792.1.2.1.1.5.7.1.9 TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE
Logius PKIoverheid 2.16.528.1.1003.1.2.7 CPS PA PKIoverheid Extended Validation Root v1.5
Network Solutions 1.3.6.1.4.1.782.1.2.1.8.1 Network Solutions EV CPS v. 1.1, 2.4.1
OpenTrust/DocuSign France 1.3.6.1.4.1.22234.2.5.2.3.1 SSL Extended Validation CA Certificate Policy version
QuoVadis 1.3.6.1.4.1.8024.0.2.100.1.2 QuoVadis Root CA2 CP/CPS, p. 34
SECOM Trust Systems 1.2.392.200091.100.721.1 SECOM Trust Systems EV CPS (in Japanese), p. 2
SHECA 1.2.156.112570.1.1.3 SHECA EV CPS
Starfield Technologies 2.16.840.1.114414.1.7.23.3 Starfield EV CPS
StartCom Certification Authority 1.3.6.1.4.1.23223.2 StartCom CPS, no. 4
1.3.6.1.4.1.23223.1.1.1
Swisscom 2.16.756.1.83.21.0 Swisscom Root EV CA 2 CPS (in German), p. 62
SwissSign 2.16.756.1.89.1.2.1.1 SwissSign Gold CP/CPS
T-Systems 1.3.6.1.4.1.7879.13.24.1 CP/CPS TeleSec ServerPass v. 3.0, p. 14
Thawte 2.16.840.1.113733.1.7.48.1 Thawte EV CPS v. 3.3, p. 95
Trustwave 2.16.840.1.114404.1.1.2.4.1 Trustwave EV CPS [1]
Symantec (VeriSign) 2.16.840.1.113733.1.7.23.6 Symantec EV CPS
Verizon Business (formerly Cybertrust) 1.3.6.1.4.1.6334.1.100.1 Cybertrust CPS v.5.2, p. 20
Wells Fargo 2.16.840.1.114171.500.9 WellsSecure PKI CPS [2]
WoSign 1.3.6.1.4.1.36305.2 WoSign CPS V1.2.4, p. 21

Критика[править | править код]

Доступность малому бизнесу[править | править код]

Сертификаты EV задумывались как способ подтвердить надежность сайта[12] , но некоторые малые компании считали[13], что сертификаты EV могут дать преимущество только крупному бизнесу. Пресса заметила, что есть помехи в получении сертификата[13]. Версия 1.0 была пересмотрена, разрешив регистрацию EV-сертификатов в том числе и малым предприятиям, что позволило увеличить количество выданных сертификатов.

Эффективность против фишинговых атак[править | править код]

В 2006 году ученые Стэнфордского университета и Microsoft Research провели исследования, связанные с показом сертификатов EV[14] в Internet Explorer 7. Согласно результатам исследования, «люди, которые не разбирались в браузере, не обратили внимания на EV SSL, и не смогли получить результат, который был бы лучше, чем у контрольной группы». В то же время «участники, которых попросили прочитать файл Help, хотели признать правильными как настоящие сайты, так и фальшивые».

Мнение эксперта об эффективности EV в борьбе с фишингом[править | править код]

Когда говорят о EV, заявляют, что эти сертификаты помогают защититься от фишинга[15], но новозеландский эксперт Питер Гутман считает, что на самом деле эффект в борьбе с фишингом минимален. По его мнению, сертификаты EV — просто способ заставить заплатить больше денег[16].

Похожие названия компаний[править | править код]

Названия компаний могут совпадать. Атакующий может зарегистрировать свою компанию с тем же названием, создать SSL сертификат, и сделать сайт, похожий на оригинальный. Ученый создал компанию «Stripe, Inc.» в Kентукки и заметил, что надпись в браузере очень похожа на надпись компании Stripe, Inc, находящейся в Делавэре. Ученый подсчитал: зарегистрировать такой сертификат стоило ему всего 177 долларов (100 долларов за регистрацию компании и 77 долларов за сертификат). Он заметил, что с помощью нескольких кликов мыши можно посмотреть адрес регистрации сертификата, но большинство пользователей не будут смотреть на это: они просто обратят внимание на адресную строку браузера[17].

См. также[править | править код]

Примечания[править | править код]

  1. Larry Seltzer. How Can We Improve Code Signing?. eWEEK. Дата обращения 23 августа 2019.
  2. William Hendric. What is an EV SSL certificate?. Comodo.
  3. Hagai Bar-El. The Inevitable Collapse of the Certificate Model. Hagai Bar-El on Security.
  4. Ben Wilson. Audit Criteria (англ.). CAB Forum. Дата обращения 23 августа 2019.

  5. Jeremy Rowley. Ballot 144 – Validation rules for .onion names; Appendix F section 4. CA/Browser Forum. Дата обращения 6 марта 2017.
  6. Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2. CA/Browser Forum (16 октября 2014). — «Wildcard certificates are not allowed for EV Certificates.». Дата обращения 15 декабря 2014.
  7. 1 2 Emily Schechter. Evolving Chrome's security indicators (англ.). Chromium Blog. Дата обращения 8 января 2019.
  8. What browsers support Extended Validation (EV) and display an EV indicator?. Symantec. Дата обращения 28 июля 2014.
  9. Анатолий Ализар. DigiNotar был полностью взломан. «Хакер» (1 ноября 2012). Дата обращения 26 августа 2019.
  10. Evers, Joris IE 7 gives secure Web sites the green light. CNet (February 2, 2007). — «The colored address bar, a new weapon in the fight against phishing scams, is meant as a sign that a site can be trusted, giving Web surfers the green light to carry out transactions there.». Дата обращения 27 февраля 2010.
  11. 1 2 Richmond, Riva. Software to Spot 'Phishers' Irks Small Concerns, The Wall Street Journal (December 19, 2006). Архивировано 15 апреля 2008 года. Дата обращения 27 февраля 2010.
  12. Jackson, Collin. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks" (PDF). Usable Security 2007. 
  13. Luke Christou. SSL certificates aren’t enough – businesses need extended validation to prove legitimacy (англ.). Verdict (30 July 2019). Дата обращения 26 августа 2019.
  14. Book "Engineering Security" / Peter Gutmann.
  15. Goodin, Dan Nope, this isn’t the HTTPS-validated Stripe website you think it is (неопр.). Ars Technica (12 декабря 2017). Дата обращения 19 декабря 2018.

Ссылки[править | править код]