Расширенный сертификат проверки

Сертификат открытого ключа X.509

Пример сертификата расширенной проверки, выданного DigiCert

Сертификат расширенной проверки (EV) — это сертификат, соответствующий X.509 , который подтверждает юридическую сущность владельца и подписан ключом центра сертификации , который может выдавать сертификаты EV. Сертификаты EV можно использовать так же, как и любые другие сертификаты X.509, включая защиту веб -коммуникаций с помощью HTTPS и подписание программного обеспечения и документов. В отличие от сертификатов с проверкой домена и сертификатов проверки организации , сертификаты EV могут выдаваться только подмножеством центров сертификации (CA) и требуют проверки юридической идентичности запрашивающей организации перед выдачей сертификата.

По состоянию на февраль 2021 года все основные веб-браузеры (Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari) имеют меню, которые показывают статус EV сертификата и проверенную юридическую идентичность сертификатов EV. Мобильные браузеры обычно отображают сертификаты EV так же, как они отображают сертификаты проверки домена (DV) и проверки организации (OV). Из десяти самых популярных веб-сайтов в Интернете ни один не использует сертификаты EV, и тенденция к их использованию отходит. ^[1]

Для программного обеспечения проверенная юридическая идентификация отображается пользователю операционной системой (например, Microsoft Windows) перед продолжением установки.

Сертификаты расширенной проверки хранятся в формате файла, указанном , и обычно используют то же шифрование , что и сертификаты, проверенные организацией , и сертификаты, проверенные доменом , поэтому они совместимы с большинством серверного и пользовательского программного обеспечения.

Критерии выдачи сертификатов EV определены в Руководстве по расширенной проверке, разработанном CA/Browser Forum . ^[2]

Для выдачи расширенного сертификата проверки центр сертификации требует проверки личности запрашивающего субъекта и его операционного статуса с учетом его контроля над доменным именем и хостинг-сервером.

История

Введение от CA/Browser Forum

В 2005 году Мелих Абдулхайоглу , генеральный директор Comodo Group ( в настоящее время известной как Xcitium ), созвал первое заседание организации, которая стала CA/Browser Forum , надеясь улучшить стандарты выдачи сертификатов SSL/TLS. ^[3] 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Extended Validation (EV) SSL Guidelines, которая вступила в силу немедленно. Формальное одобрение успешно завершило более чем двухлетние усилия и предоставило инфраструктуру для доверенной идентификации веб-сайтов в Интернете. Затем, в апреле 2008 года, форум анонсировал версию 1.1 руководящих принципов, основанную на практическом опыте своих членов CA и поставщиков программного обеспечения для проверяющих сторон , накопленном за месяцы с момента одобрения первой версии для использования.

Создание специальных индикаторов пользовательского интерфейса в браузерах

Большинство основных браузеров создали специальные индикаторы пользовательского интерфейса для страниц, загружаемых через HTTPS, защищенных сертификатом EV, вскоре после создания стандарта. К ним относятся Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. ^[4] Кроме того, некоторые мобильные браузеры, включая Safari для iOS, Windows Phone, Firefox для Android, Chrome для Android и iOS, добавили такие индикаторы пользовательского интерфейса. Обычно браузеры с поддержкой EV отображают проверенную идентификацию — обычно комбинацию названия организации и юрисдикции — содержащуюся в поле «субъект» сертификата EV.

В большинстве реализаций улучшенный дисплей включает в себя:

• Название компании или организации, владеющей сертификатом;
• Символ замка, также находящийся в адресной строке, цвет которого меняется в зависимости от статуса безопасности веб-сайта.

Нажав на символ замка, пользователь может получить дополнительную информацию о сертификате, включая название центра сертификации, выдавшего сертификат EV.

Удаление специальных индикаторов пользовательского интерфейса

В мае 2018 года Google объявила о планах по переработке пользовательских интерфейсов Google Chrome для устранения акцента на сертификатах EV. ^[5] Chrome 77, выпущенный в 2019 году, удалил указание сертификата EV из омнибокса, но статус сертификата EV можно просмотреть, нажав на значок замка, а затем проверив имя юридического лица, указанное как «выдан» в разделе «сертификат». ^[6] Firefox 70 удалил различие в омнибоксе или строке URL (сертификаты EV и DV отображаются аналогично только со значком замка), но сведения о статусе сертификата EV доступны в более подробном представлении, которое открывается после нажатия на значок замка. ^[7]

Apple Safari на iOS 12 и MacOS Mojave (выпущен в сентябре 2018 года) убрал визуальное различие статуса EV. ^[1]

Критерии выдачи

Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать EV, ^[8] и все центры сертификации во всем мире должны следовать тем же подробным требованиям к выпуску, которые направлены на:

• Установить юридическую личность, а также оперативное и физическое присутствие владельца веб-сайта;
• Установить, что заявитель является владельцем доменного имени или имеет исключительный контроль над доменным именем;
• Подтвердить личность и полномочия лиц, действующих от имени владельца веб-сайта, а также то, что документы, касающиеся юридических обязательств, подписаны уполномоченным должностным лицом;
• Ограничьте срок действия сертификата, чтобы гарантировать актуальность информации о сертификате. Форум CA/B также ограничивает максимальное повторное использование данных проверки домена и данных организации максимум 397 днями (не должно превышать 398 дней) с марта 2020 года.

За исключением ^[9] расширенных сертификатов проверки для доменов .onion , получить подстановочный расширенный сертификат проверки невозможно — вместо этого все полностью квалифицированные доменные имена должны быть включены в сертификат и проверены центром сертификации. ^[10]

Расширенная идентификация сертификата проверки

Сертификаты EV являются стандартными цифровыми сертификатами X.509. Основной способ идентификации сертификата EV — ссылка на поле расширения политики сертификата (CP). Поле идентификатора объекта CP (OID) каждого сертификата EV идентифицирует сертификат EV. OID EV форума CA/Browser — 2.23.140.1.1. ^[11] Другие OID EV могут быть задокументированы в Заявлении о практике сертификации эмитента. Как и в случае с корневыми центрами сертификации в целом, браузеры могут не распознавать всех эмитентов.

Сертификаты EV HTTPS содержат субъект с идентификаторами OID X.509 для jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.311.60.2.1.3), ^[12] jurisdictionOfIncorporationStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2) (необязательно), ^[13]jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1) (необязательно), ^[14] businessCategory (OID: 2.5.4.15) ^[15] и serialNumber(OID: 2.5.4.5), ^[16] с serialNumberуказанием идентификатора у соответствующего секретаря штата (США) или государственного регистратора предприятий (за пределами США) ^{[ требуется ссылка ]} .

Протокол статуса онлайн-сертификата

Критерии выпуска сертификатов Extended Validation не требуют от выдающих центров сертификации немедленной поддержки Online Certificate Status Protocol для проверки отзыва. Однако требование своевременного ответа на проверки отзыва браузером побудило большинство центров сертификации, которые ранее этого не делали, внедрить поддержку OCSP. Раздел 26-A критериев выпуска требует от центров сертификации поддерживать проверку OCSP для всех сертификатов, выданных после 31 декабря 2010 г.

Критика

Конфликтующие имена сущностей

Названия юридических лиц не являются уникальными, поэтому злоумышленник, который хочет выдать себя за организацию, может зарегистрировать другую компанию с тем же названием (но, например, в другом штате или стране) и получить действительный сертификат для нее, но затем использовать сертификат, чтобы выдать себя за оригинальный сайт. В одной из демонстраций исследователь зарегистрировал компанию под названием «Stripe, Inc.» в Кентукки и показал, что браузеры отображают ее так же, как они отображают сертификат платежного процессора « Stripe, Inc. », зарегистрированного в Делавэре . Исследователь заявил, что настройка демонстрации заняла около часа его времени, 100 долларов США на судебные издержки и 77 долларов США за сертификат. Он также отметил, что «при достаточном количестве щелчков мыши [пользователь] может [просмотреть] город и штат [где зарегистрирована организация], но ни один из этих вариантов не полезен для обычного пользователя, и он, скорее всего, просто слепо доверится индикатору [сертификата EV]». ^[17]

Доступность для малого бизнеса

Поскольку сертификаты EV продвигаются и сообщаются ^[18] как знак заслуживающего доверия веб-сайта, некоторые владельцы малого бизнеса выразили обеспокоенность ^[19] , что сертификаты EV дают неправомерное преимущество крупным предприятиям. Опубликованные проекты Руководства EV ^[20] исключали некорпоративные коммерческие организации, и ранние сообщения в СМИ ^[19] были сосредоточены на этом вопросе. Версия 1.0 Руководства EV была пересмотрена, чтобы охватить некорпоративные ассоциации, если они были зарегистрированы в признанном агентстве, что значительно увеличило число организаций, которые имели право на Сертификат расширенной проверки.

Эффективность защиты от фишинговых атак с помощью пользовательского интерфейса безопасности IE7

В 2006 году исследователи из Стэнфордского университета и Microsoft Research провели исследование удобства использования ^[21] отображения EV в Internet Explorer 7. В их статье сделан вывод о том, что «участники, не прошедшие обучение по функциям безопасности браузера, не заметили расширенный индикатор проверки и не превзошли контрольную группу», тогда как «участники, которым было предложено прочитать файл справки Internet Explorer, с большей вероятностью классифицировали как реальные, так и поддельные сайты как легитимные».

Сертификаты с проверкой домена изначально создавались центрами сертификации

В то время как сторонники сертификатов EV утверждают, что они помогают от фишинговых атак, ^[22] эксперт по безопасности Питер Гутманн утверждает, что новый класс сертификатов восстанавливает прибыль CA, которая была подорвана из-за гонки ко дну , которая произошла среди эмитентов в отрасли. По словам Питера Гутмана, сертификаты EV неэффективны против фишинга, поскольку сертификаты EV «не устраняют никаких проблем, которые используют фишеры». Он предполагает, что крупные коммерческие CA ввели сертификаты EV, чтобы вернуть старые высокие цены. ^[23]

Смотрите также

• Квалифицированный сертификат аутентификации веб-сайта
• Строгая безопасность транспорта HTTP

Ссылки

1. "Google, Mozilla: Мы меняем то, что вы видите в адресных строках Chrome и Firefox". ZDNET . Получено 27 июля 2023 г.
2. «Руководство по сертификатам EV SSL». 31 августа 2013 г.
3. «Как мы можем улучшить подписание кода?». eWEEK . 9 мая 2008 г.
4. "Какие браузеры поддерживают расширенную проверку (EV) и отображают индикатор EV?". Symantec . Архивировано из оригинала 2015-12-31 . Получено 2014-07-28 .
5. "Google Chrome: удаление индикаторов Secure и HTTPS". Ghacks . 18 мая 2018 г. Получено 15 июня 2021 г.
6. Абрамс, Лоуренс (11 сентября 2019 г.). «Chrome 77 выпущен с удаленным индикатором сертификата EV». Bleeping Computer . Получено 14.06.2021 .
7. "Улучшенные показатели безопасности и конфиденциальности в Firefox 70". Блог безопасности Mozilla . 15 октября 2019 г. Получено 17 октября 2019 г.
8. «Критерии аудита». Октябрь 2013 г.
9. "Бюллетень 144 – Правила проверки для имен .onion; Приложение F, раздел 4". Форум CA/Browser . 18 февраля 2015 г. Получено 6 марта 2017 г.
10. "Руководство по выпуску и управлению сертификатами расширенной проверки, версия 1.5.2" (PDF) . Форум CA/Browser. 2014-10-16. стр. 10 . Получено 2014-12-15 . Универсальные сертификаты не допускаются для сертификатов EV.
11. "Реестр объектов". 16 октября 2013 г.
12. "OID-репозиторий - 1.3.6.1.4.1.311.60.2.1.3 = {iso(1) identifyed-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 authorityOfIncorporationCountryName(3)}". oid-info.com . Получено 2019-07-31 .
13. "OID-репозиторий - 1.3.6.1.4.1.311.60.2.1.2 = {iso(1) identifyed-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 authorityOfIncorporationStateOrProvinceName(2)}". oid-info.com . Получено 2019-07-31 .
14. "OID-репозиторий - 1.3.6.1.4.1.311.60.2.1.1 = {iso(1) identifyed-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 authorityOfIncorporationLocalityName(1)}". oid-info.com . Получено 2019-07-31 .
15. "OID-репозиторий - 2.5.4.15 = {joint-iso-itu-t(2) ds(5) attributeType(4) businessCategory(15)}". oid-info.com . Получено 2019-07-31 .
16. "OID-репозиторий - 2.5.4.5 = {joint-iso-itu-t(2) ds(5) attributeType(4) serialNumber(5)}". oid-info.com . Получено 2019-07-31 .
17. Гудин, Дэн (12.12.2017). «Нет, это не тот веб-сайт Stripe с поддержкой HTTPS, о котором вы думаете». Ars Technica . Получено 19.12.2018 .
18. Эверс, Йорис (2 февраля 2007 г.). «IE 7 дает безопасным веб-сайтам зеленый свет». CNet . Получено 27.02.2010 . Цветная адресная строка — новое оружие в борьбе с фишинговыми атаками — призвана служить знаком того, что сайту можно доверять, давая веб-серферам зеленый свет для совершения там транзакций.
19. Richmond, Riva (19 декабря 2006 г.). "Программное обеспечение для обнаружения фишеров вызывает мелкие опасения". The Wall Street Journal . Архивировано из оригинала 15 апреля 2008 г. Получено 27 февраля 2010 г.
20. "Руководство по выдаче и управлению сертификатами расширенной проверки" (PDF) . www.cabforum.org . Архивировано из оригинала (PDF) 29 февраля 2012 г.
21. Джексон, Колин; Дэниел Р. Саймон; Десни С. Тан; Адам Барт. «Оценка расширенной проверки и фишинговых атак «картинка в картинке»» (PDF) . Usable Security 2007 .
22. "Распространенные вопросы о расширенной проверке EV SSL". DigiCert, Inc. Получено 15 мая 2013 г.
23. Гутманн, Питер (2014). Инженерная безопасность (PDF) . стр. 73. Получено 13 марта 2015 г.

Внешние ссылки

• Веб-сайт CA/Browser Forum
• Зеленый замок Firefox для сертификатов EV