Сертификат Extended Validation

Сертификат EV SSL (англ. Extended Validation — расширенная проверка) — вид сертификата, для получения которого необходимо подтвердить существование компании, на имя которой он оформляется в центре сертификации, а также факт владения этой компанией сертифицированными доменными именами.

Браузеры информировали пользователей о том, что у веб-сайта есть EV SSL сертификат. Они либо отображали вместо доменного имени название компании, либо размещали название компании рядом. Тем не менее, позднее разработчики браузеров объявили о том, что у них появились планы отключить эту функцию^[1].

EV-сертификаты используют те же самые способы защиты, что и сертификаты DV, IV и OV: более высокий уровень защиты обеспечивается за счет необходимости подтверждения существования компании в центре сертификации.

Критерии выдачи сертификатов EV определены специальным документом: Guidelines for Extended Validation^[2] (Руководством по расширенной проверке), в настоящее время (по состоянию на 1 августа 2019 г.) версия этого документа — 1.7.0. Руководство разработано CA/Browser Forum, организацией, членами которой являются центры сертификации и поставщики программного обеспечения для интернета, а также представители юридических и аудиторских профессий^[3].

ИсторияПравить

В 2005 году генеральный директор Comodo Group Мелих Абдулхайоглу созвал первое совещание организации, которая впоследствии станет CA/Browser Forum. Целью совещания было улучшить стандарты выдачи сертификатов SSL/ TLS^[4]. 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Руководства для расширенной проверки, документ вступил в силу немедленно. Официальное одобрение привело к завершению работы по предоставлению инфраструктуры для идентификации доверенных веб-сайтов в Интернете. Затем, в апреле 2008 года, CA/Browser Forum объявил о появлении новой версии Руководства (1.1). Новая версия была основана на опыте центров сертификации и производителей программного обеспечения.

Мотивация к получению сертификатаПравить

Важной мотивацией для использования цифровых сертификатов с SSL / TLS — увеличение доверия к онлайн-транзакциям. Для этого требуется, чтобы операторы веб-сайтов проходили проверку для получения сертификата.

Однако коммерческое давление побудило некоторые центры сертификации ввести сертификаты более низкого уровня (domain-validation). Сертификаты domain validation существовали до extended validation и, как правило, их получение требует лишь некоторого подтверждения контроля домена. В частности, сертификаты domain validation не утверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя на самом сайте может быть написано, что он принадлежит юридическому лицу.

Сначала пользовательские интерфейсы большинства браузеров не различали сертификаты domain validation и extended validation. Поскольку любое успешное соединение SSL / TLS приводило к появлению зелёного значка замка в большинстве браузеров, пользователи вряд ли знали, подтверждён ли сайт extended validation, или нет, однако по состоянию на октябрь 2020 года, все основные браузеры убрали значки EV. В результате мошенники (включая тех, которые занимаются фишингом) могли использовать TLS, чтобы повысить доверие к своим веб-сайтам. Пользователи браузеров могут проверить личность владельцев сертификатов, изучив сведения о выданном сертификате, которые указаны в нём (включая название организации и её адрес).

Сертификаты EV проверяются на соответствие как базовым требованиям, так и на соответствие расширенным требованиям. Необходима ручная проверка доменных имен, запрошенных заявителем, проверка по официальным правительственным источникам, проверка по независимым источникам информации и телефонные звонки в компанию. Если сертификат был выдан, зарегистрированный центром сертификации серийный номер предприятия, а также физический адрес сохраняются в нём.

Сертификаты EV предназначены для повышения уверенности пользователей в том, что оператор веб-сайта является действительно существующей организацией^[5].

Тем не менее, по-прежнему существует опасение, что тот же недостаток ответственности, который привел к утрате доверия общественности к сертификатом DV, приведет к тому, что будет утрачена ценность сертификатов EV^[6].

Критерии выдачиПравить

Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать сертификаты EV^[7], и все центры должны следовать требованиям к выпуску, которые направлены на:

Установление существования юридического лица и владельца сайта
Установление того факта, что юридическое лицо действительно владеет этим доменом
Подтверждение личности владельца сайта и полномочий лиц, действующих от имени владельца сайта.

За исключением^[8] сертификатов EV для доменов .onion, невозможно получить wildcard-сертификат с Extended Validation — вместо этого все полные доменные имена должны быть включены в сертификат и проверены центром сертификации^[9].

Пользовательский интерфейсПравить

Браузеры, поддерживающие EV, отображают информацию о том, что есть EV-сертификат: обычно пользователю показывается название и расположение организации при просмотре информации о сертификате. Браузеры Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera и Google Chrome поддерживают EV.

Правила расширенной проверки требуют, чтобы участвующие центры сертификации назначали определённый идентификатор EV после того, как центр сертификации завершил независимый аудит и выполнил другие критерии. Браузеры запоминают этот идентификатор, сопоставляют идентификатор EV в сертификате с тем, который находится в браузере для рассматриваемого центра сертификации: если они совпадают, сертификат признаётся верным. Во многих браузерах о наличии сертификата EV сигнализирует:

Название компании или организации, которой принадлежит сертификат.
Отличительный цвет, обычно зелёный, отображаемый в адресной строке, который показывает, что сертификат был получен (по мере увеличения распространения HTTPS, браузеры отказываются от зелёного цвета в адресной строке, например, так сделал Google Chrome^[10]).
Символ «замок», также в адресной строке (возможно, браузеры будут отказываться от отображения этого символа^[10]).

Нажав на «замок», вы можете получить больше информации о сертификате, включая название центра сертификации, который выдал сертификат EV.

ПоддержкаПравить

Следующие браузеры определяют EV сертификат:^[11]:

Поддерживаемые браузеры мобильных устройствПравить

Safari для iOS
браузер Windows Phone
Firefox для Android
Chrome для Android и iOS

Поддерживаемые веб-сервераПравить

Расширенная проверка поддерживает все веб-серверы, если они поддерживают HTTPS.

Расширенная проверка сертификата идентификацииПравить

Сертификаты EV — стандартные цифровые сертификаты X.509. Основным способом идентификации сертификата EV является обращение к полю Certificate Policies. Каждый центр, выпускающий сертификат, использует свой идентификатор (OID) для идентификации своих сертификатов EV, и каждый OID документирован в центре сертификации. Как и в случае корневых центров сертификации, браузеры могут не распознавать всех тех, кто выпускает сертификаты.

Issuer	OID	Certification Practice Statement
Actalis	`1.3.159.1.17.1`	Actalis CPS v2.3,
AffirmTrust	`1.3.6.1.4.1.34697.2.1`	AffirmTrust CPS v1.1, p. 4
`1.3.6.1.4.1.34697.2.2`
`1.3.6.1.4.1.34697.2.3`
`1.3.6.1.4.1.34697.2.4`
A-Trust	`1.2.40.0.17.1.22`	a.sign SSL EV CPS v1.3.4
Buypass	`2.16.578.1.26.1.3.3`	Buypass Class 3 EV CPS
Camerfirma	`1.3.6.1.4.1.17326.10.14.2.1.2`	Camerfirma CPS v3.2.3
`1.3.6.1.4.1.17326.10.8.12.1.2`
Comodo Group	`1.3.6.1.4.1.6449.1.2.1.5.1`	Comodo EV CPS, p. 28
DigiCert	`2.16.840.1.114412.2.1`	DigiCert EV CPS v. 1.0.3, p. 56
`2.16.840.1.114412.1.3.0.2`
DigiNotar (нерабочий^[12])	`2.16.528.1.1001.1.1.1.12.6.1.1.1`	N/A
D-TRUST	1.3.6.1.4.1.4788.2.202.1	D-TRUST CP
E-Tugra	`2.16.792.3.0.4.1.1.4`	E-Tugra Certification Practice Statement (CPS) (недоступная ссылка), p. 2
Entrust	`2.16.840.1.114028.10.1.2`	Entrust EV CPS
ETSI	`0.4.0.2042.1.4`	ETSI TS 102 042 V2.4.1, p. 18
`0.4.0.2042.1.5`
Firmaprofesional	`1.3.6.1.4.1.13177.10.1.3.10`	SSL Secure Web Server Certificates, p. 6
GeoTrust	`1.3.6.1.4.1.14370.1.6`	GeoTrust EV CPS v. 2.6, p. 28
GlobalSign	`1.3.6.1.4.1.4146.1.1`	GlobalSign CP/CPS Repository
Go Daddy	`2.16.840.1.114413.1.7.23.3`	Go Daddy CP/CPS Repository
Izenpe	`1.3.6.1.4.1.14777.6.1.1`	DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Архивная копия от 30 апреля 2015 на Wayback Machine,
Kamu Sertifikasyon Merkezi	`2.16.792.1.2.1.1.5.7.1.9`	TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE
Logius PKIoverheid	`2.16.528.1.1003.1.2.7`	CPS PA PKIoverheid Extended Validation Root v1.5
Network Solutions	`1.3.6.1.4.1.782.1.2.1.8.1`	Network Solutions EV CPS v. 1.1, 2.4.1
OpenTrust/DocuSign France	`1.3.6.1.4.1.22234.2.5.2.3.1`	SSL Extended Validation CA Certificate Policy version
QuoVadis	`1.3.6.1.4.1.8024.0.2.100.1.2`	QuoVadis Root CA2 CP/CPS, p. 34
SECOM Trust Systems	`1.2.392.200091.100.721.1`	SECOM Trust Systems EV CPS Архивная копия от 24 июля 2011 на Wayback Machine (in Japanese), p. 2
SHECA	`1.2.156.112570.1.1.3`	SHECA EV CPS
Starfield Technologies	`2.16.840.1.114414.1.7.23.3`	Starfield EV CPS
StartCom Certification Authority	`1.3.6.1.4.1.23223.2`	StartCom CPS, no. 4
`1.3.6.1.4.1.23223.1.1.1`
Swisscom	`2.16.756.1.83.21.0`	Swisscom Root EV CA 2 CPS (in German), p. 62
SwissSign	`2.16.756.1.89.1.2.1.1`	SwissSign Gold CP/CPS
T-Systems	`1.3.6.1.4.1.7879.13.24.1`	CP/CPS TeleSec ServerPass v. 3.0, p. 14
Thawte	`2.16.840.1.113733.1.7.48.1`	Thawte EV CPS v. 3.3, p. 95
Trustwave	`2.16.840.1.114404.1.1.2.4.1`	Trustwave EV CPS [1]
Symantec (VeriSign)	`2.16.840.1.113733.1.7.23.6`	Symantec EV CPS
Verizon Business (formerly Cybertrust)	`1.3.6.1.4.1.6334.1.100.1`	Cybertrust CPS v.5.2 Архивная копия от 15 июля 2011 на Wayback Machine, p. 20
Wells Fargo	`2.16.840.1.114171.500.9`	WellsSecure PKI CPS [2]
WoSign	`1.3.6.1.4.1.36305.2`	WoSign CPS V1.2.4, p. 21

КритикаПравить

Доступность малому бизнесуПравить

Сертификаты EV задумывались как способ подтвердить надежность сайта^[13], но некоторые малые компании считали^[14], что сертификаты EV могут дать преимущество только крупному бизнесу. Пресса заметила, что есть помехи в получении сертификата^[14]. Версия 1.0 была пересмотрена, разрешив регистрацию EV-сертификатов в том числе и малым предприятиям, что позволило увеличить количество выданных сертификатов.

Эффективность против фишинговых атакПравить

В 2006 году ученые Стэнфордского университета и Microsoft Research провели исследования, касающиеся того, как отображались сертификаты EV^[15] в Internet Explorer 7. Согласно результатам исследования, «люди, которые не разбирались в браузере, не обратили внимания на EV SSL, и не смогли получить результат, который был бы лучше, чем у контрольной группы». В то же время «участники, которых попросили прочитать файл Help, хотели признать правильными как настоящие сайты, так и фальшивые».

Мнение эксперта об эффективности EV в борьбе с фишингомПравить

Когда говорят о EV, заявляют, что эти сертификаты помогают защититься от фишинга^[16], но новозеландский эксперт Питер Гутман считает, что на самом деле эффект в борьбе с фишингом минимален. По его мнению, сертификаты EV — просто способ заставить заплатить больше денег^[17].

EV-сертификаты для подписи кодаПравить

Другим применением EV-сертификатов помимо защиты сайтов является подпись кода программ, приложений и драйверов. При помощи специализированного EV Code Signing сертификата разработчик подписывает свой код, что подтверждает его авторство и делает невозможным внесение не авторизованных изменений.

В современных версиях ОС Windows попытка запуска исполняемых файлов без подписи Code Signing приводит к отображению окна предупреждения защитного компонента SmartScreen о неподтверждённом издателе. Многие пользователи на этом этапе, опасаясь небезопасного источника, могут отказаться от установки программы, поэтому наличие подписи EV-сертификатом Code Signing увеличивает количество успешных инсталляций.

См. такжеПравить

ПримечанияПравить

↑ Catalin Cimpanu. Chrome 77 released with no EV indicators, contact picker, permanent Guest Mode (англ.). ZDNet. Дата обращения: 18 ноября 2019.
↑
https://cabforum.org/extended-validation/
↑
CA / Browser Forum Участники Архивная копия от 2 ноября 2013 на Wayback Machine
↑ Larry Seltzer. How Can We Improve Code Signing? (неопр.) eWEEK. Дата обращения: 23 августа 2019.
↑ William Hendric. What is an EV SSL certificate? (неопр.) Comodo.
↑ Hagai Bar-El. The Inevitable Collapse of the Certificate Model (неопр.). Hagai Bar-El on Security.
↑

Ben Wilson. Audit Criteria (англ.). CAB Forum. Дата обращения: 23 августа 2019.
↑ Jeremy Rowley. Ballot 144 – Validation rules for .onion names; Appendix F section 4 (неопр.). CA/Browser Forum. Дата обращения: 6 марта 2017.
↑ Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 (неопр.). CA/Browser Forum (16 октября 2014). — «Wildcard certificates are not allowed for EV Certificates.». Дата обращения: 15 декабря 2014.
↑ ¹ ² Emily Schechter. Evolving Chrome's security indicators (англ.). Chromium Blog. Дата обращения: 8 января 2019.
↑ What browsers support Extended Validation (EV) and display an EV indicator? (неопр.) Symantec. Дата обращения: 28 июля 2014.
↑ Анатолий Ализар. DigiNotar был полностью взломан (рус.). «Хакер» (1 ноября 2012). Дата обращения: 26 августа 2019.
↑ Evers, Joris IE 7 gives secure Web sites the green light (неопр.). CNet (2 февраля 2007). — «The colored address bar, a new weapon in the fight against phishing scams, is meant as a sign that a site can be trusted, giving Web surfers the green light to carry out transactions there.». Дата обращения: 27 февраля 2010.
↑ ¹ ² Richmond, Riva. Software to Spot 'Phishers' Irks Small Concerns, The Wall Street Journal (December 19, 2006). Архивировано 15 апреля 2008 года. Дата обращения: 27 февраля 2010.
↑ Jackson, Collin; Daniel R. Simon; Desney S. Tan; Adam Barth. “An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks” (PDF). Usable Security 2007.
↑ Luke Christou. SSL certificates aren’t enough – businesses need extended validation to prove legitimacy (англ.). Verdict (30 июля 2019). Дата обращения: 26 августа 2019.
↑ Book "Engineering Security" / Peter Gutmann.
↑ Goodin, Dan Nope, this isn’t the HTTPS-validated Stripe website you think it is (амер. англ.). Ars Technica (12 декабря 2017). Дата обращения: 19 декабря 2018.

СсылкиПравить

Unghost, Alena159, Harry, Anticisco Freeman, Valery Ledovskoy, mozcolonslashslasha. Как мне узнать, является ли мое соединение с веб-сайтом безопасным? | Справка Firefox (рус.)

[1] Catalin Cimpanu. Chrome 77 released with no EV indicators, contact picker, permanent Guest Mode (англ.). ZDNet. Дата обращения: 18 ноября 2019.

[2] 
https://cabforum.org/extended-validation/

[3] 
CA / Browser Forum Участники Архивная копия от 2 ноября 2013 на Wayback Machine

[4] Larry Seltzer. How Can We Improve Code Signing? (неопр.) eWEEK. Дата обращения: 23 августа 2019.

[5] William Hendric. What is an EV SSL certificate? (неопр.) Comodo.

[6] Hagai Bar-El. The Inevitable Collapse of the Certificate Model (неопр.). Hagai Bar-El on Security.

[7] 

Ben Wilson. Audit Criteria (англ.). CAB Forum. Дата обращения: 23 августа 2019.

[8] Jeremy Rowley. Ballot 144 – Validation rules for .onion names; Appendix F section 4 (неопр.). CA/Browser Forum. Дата обращения: 6 марта 2017.

[9] Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2 (неопр.). CA/Browser Forum (16 октября 2014). — «Wildcard certificates are not allowed for EV Certificates.». Дата обращения: 15 декабря 2014.

[:0-10] ¹ ² Emily Schechter. Evolving Chrome's security indicators (англ.). Chromium Blog. Дата обращения: 8 января 2019.

[11] What browsers support Extended Validation (EV) and display an EV indicator? (неопр.) Symantec. Дата обращения: 28 июля 2014.

[12] Анатолий Ализар. DigiNotar был полностью взломан (рус.). «Хакер» (1 ноября 2012). Дата обращения: 26 августа 2019.

[13] Evers, Joris IE 7 gives secure Web sites the green light (неопр.). CNet (2 февраля 2007). — «The colored address bar, a new weapon in the fight against phishing scams, is meant as a sign that a site can be trusted, giving Web surfers the green light to carry out transactions there.». Дата обращения: 27 февраля 2010.

[wsj-phishers-14] ¹ ² Richmond, Riva. Software to Spot 'Phishers' Irks Small Concerns, The Wall Street Journal (December 19, 2006). Архивировано 15 апреля 2008 года. Дата обращения: 27 февраля 2010.

[15] Jackson, Collin; Daniel R. Simon; Desney S. Tan; Adam Barth. “An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks” (PDF). Usable Security 2007.

[16] Luke Christou. SSL certificates aren’t enough – businesses need extended validation to prove legitimacy (англ.). Verdict (30 июля 2019). Дата обращения: 26 августа 2019.

[17] Book "Engineering Security" / Peter Gutmann.

[18] Goodin, Dan Nope, this isn’t the HTTPS-validated Stripe website you think it is (амер. англ.). Ars Technica (12 декабря 2017). Дата обращения: 19 декабря 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]