Сертификат расширенной проверки

Сертификат расширенной проверки ( EV ) — это сертификат, соответствующий X.509 , который подтверждает юридическое лицо владельца и подписан ключом центра сертификации , который может выдавать сертификаты EV. Сертификаты EV можно использовать так же, как и любые другие сертификаты X.509, включая защиту веб -коммуникаций с помощью HTTPS и подпись программного обеспечения и документов. В отличие от сертификатов с проверкой домена и сертификатов с проверкой организации , сертификаты EV могут выдаваться только некоторыми центрами сертификации (ЦС) и требуют проверки юридической личности запрашивающего лица перед выдачей сертификата.

По состоянию на февраль 2021 года во всех основных веб-браузерах (Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari) есть меню, в которых отображается статус EV сертификата и подтвержденная юридическая идентичность сертификатов EV. Мобильные браузеры обычно отображают сертификаты EV так же, как сертификаты проверки домена (DV) и проверки организации (OV). Из десяти самых популярных веб-сайтов в Интернете ни один не использует сертификаты EV, и наблюдается тенденция к отказу от их использования. ^[1]

Для программного обеспечения подтвержденная юридическая личность отображается пользователю операционной системой (например, Microsoft Windows) перед продолжением установки.

Сертификаты расширенной проверки хранятся в формате файла, указанном и обычно используют то же шифрование , что и сертификаты, проверенные организацией , и сертификаты, проверенные доменом , поэтому они совместимы с большинством серверного и пользовательского программного обеспечения.

Критерии выдачи сертификатов EV определяются Руководящими принципами расширенной проверки, установленными CA/Browser Forum . ^[2]

Чтобы выдать сертификат расширенной проверки, центр сертификации требует проверки личности запрашивающего объекта и его рабочего статуса с контролем над доменным именем и хост-сервером.

История

Введение CA/Browser Forum

В 2005 году Мелих Абдулхайоглу , генеральный директор Comodo Group ( в настоящее время известной как Xcitium ), созвал первое собрание организации, которая стала Форумом CA/Browser , в надежде улучшить стандарты выдачи SSL/TLS-сертификатов. ^[3] 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Руководства по расширенной проверке (EV) SSL, которая немедленно вступила в силу. Официальное одобрение успешно завершило более чем двухлетние усилия и обеспечило инфраструктуру для надежной идентификации веб-сайтов в Интернете. Затем, в апреле 2008 года, форум анонсировал версию 1.1 рекомендаций, основанную на практическом опыте центров сертификации, входящих в его состав, и поставщиков прикладного программного обеспечения проверяющих сторон , полученном за несколько месяцев с тех пор, как первая версия была одобрена для использования.

Создание специальных индикаторов пользовательского интерфейса в браузерах

Большинство основных браузеров создали специальные индикаторы пользовательского интерфейса для страниц, загружаемых через HTTPS, защищенные сертификатом EV, вскоре после создания стандарта. Сюда входят Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. ^[4] Кроме того, такие индикаторы пользовательского интерфейса добавлены в некоторые мобильные браузеры, включая Safari для iOS, Windows Phone, Firefox для Android, Chrome для Android и iOS. Обычно браузеры с поддержкой EV отображают подтвержденную личность — обычно комбинацию названия организации и юрисдикции, — содержащуюся в поле «субъект» сертификата EV.

В большинстве реализаций расширенный дисплей включает в себя:

Название компании или организации, которой принадлежит сертификат;
Символ замка, также расположенный в адресной строке, цвет которого меняется в зависимости от статуса безопасности веб-сайта.

Нажав на символ замка, пользователь может получить дополнительную информацию о сертификате, включая название центра сертификации, выдавшего сертификат EV.

Удаление специальных индикаторов пользовательского интерфейса.

В мае 2018 года Google объявила о планах изменить дизайн пользовательских интерфейсов Google Chrome, чтобы убрать акцент на сертификатах EV. ^[5] В Chrome 77, выпущенном в 2019 году, индикация сертификата EV удалена из омнибокса, но статус сертификата EV можно просмотреть, щелкнув значок замка, а затем проверив название юридического лица, указанное как «выдано» в разделе «сертификат». ^[6] В Firefox 70 убрано различие в омнибоксе или строке URL (сертификаты EV и DV отображаются одинаково, только со значком замка), но подробности о статусе EV сертификата доступны в более подробном представлении, которое открывается после щелчка по значку замка. ^[7]

В Apple Safari на iOS 12 и MacOS Mojave (выпущенном в сентябре 2018 г.) удалено визуальное различие статуса электромобиля. ^[1]

Критерии выдачи

Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать EV, ^[8] и все центры сертификации во всем мире должны следовать одним и тем же подробным требованиям к выдаче, которые направлены на:

Установить юридическую личность, а также оперативное и физическое присутствие владельца сайта;
Установить, что заявитель является владельцем доменного имени или имеет исключительный контроль над доменным именем;
Подтвердить личность и полномочия лиц, действующих от имени владельца веб-сайта, а также то, что документы, относящиеся к юридическим обязательствам, подписаны уполномоченным должностным лицом;
Ограничьте срок действия сертификата, чтобы обеспечить актуальность информации о сертификате. CA/B Forum также ограничивает максимальное повторное использование данных проверки домена и данных организации максимум 397 днями (не должно превышать 398 дней), начиная с марта 2020 года.

За исключением ^[9] сертификатов расширенной проверки для доменов .onion , в противном случае невозможно получить сертификат расширенной проверки с подстановочными знаками — вместо этого все полные доменные имена должны быть включены в сертификат и проверены центром сертификации. ^[10]

Идентификация сертификата расширенной проверки

Сертификаты EV представляют собой стандартные цифровые сертификаты X.509. Основной способ идентификации сертификата EV — это ссылка на поле расширения «Политики сертификатов» (CP). CP (OID) каждого сертификата EV Поле идентификатора объекта идентифицирует сертификат EV. EV OID форума CA/Browser Forum — 2.23.140.1.1. ^[11] Другие EV OID могут быть задокументированы в Положении о практике сертификации эмитента. Как и в случае с корневыми центрами сертификации в целом, браузеры могут не распознавать всех эмитентов.

Сертификаты EV HTTPS содержат субъект с OID X.509 для jurisdictionOfIncorporationCountryName (Идентификатор объекта: 1.3.6.1.4.1.311.60.2.1.3), ^[12] jurisdictionOfIncorporationStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2) (необязательно), ^[13]jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1) (необязательно), ^[14] businessCategory (ИД: 2.5.4.15) ^[15] и serialNumber (ИД: 2.5.4.5), ^[16] с serialNumber указав удостоверение личности у соответствующего государственного секретаря (США) или государственного регистратора предприятий (за пределами США) ^{[ нужна ссылка ]}.

Протокол статуса онлайн-сертификата

Критерии выдачи сертификатов расширенной проверки не требуют от выдающих центров сертификации немедленной поддержки протокола состояния онлайн-сертификатов для проверки отзыва. Однако требование своевременного ответа на проверки отзыва со стороны браузера побудило большинство центров сертификации, которые ранее не делали этого, реализовать поддержку OCSP. Раздел 26-A критериев выдачи требует, чтобы центры сертификации поддерживали проверку OCSP для всех сертификатов, выпущенных после 31 декабря 2010 г.

Критика

Конфликтующие имена сущностей

Названия юридических лиц не уникальны, поэтому злоумышленник, желающий выдать себя за юридическое лицо, может зарегистрировать другую компанию с тем же названием (но, например, в другом штате или стране) и получить для нее действительный сертификат, но затем использовать сертификат для олицетворения исходного сайта. В ходе одной из демонстраций исследователь основал компанию под названием Stripe, Inc. в Кентукки и показал, что браузеры отображают его аналогично тому, как они отображают сертификат платежной системы Stripe, Inc. , зарегистрированной в Делавэре . Исследователь заявил, что демонстрационная установка заняла около часа его времени, 100 долларов США на судебные издержки и 77 долларов США на сертификат. Кроме того, он отметил, что «при достаточном количестве щелчков мыши [пользователь] сможет [просмотреть] город и штат [где зарегистрирована организация], но ни один из них не будет полезен обычному пользователю, и он, скорее всего, просто слепо доверяет индикатор [EV сертификат]». ^[17]

Доступность для малого бизнеса

Поскольку сертификаты EV продвигаются и сообщаются ^[18] В качестве признака заслуживающего доверия веб-сайта некоторые владельцы малого бизнеса выразили обеспокоенность ^[19] что сертификаты электромобилей дают неоправданное преимущество крупному бизнесу. Опубликованные проекты Руководства по ЭМ ^[20] исключены некорпоративные предприятия, а также первые сообщения в СМИ ^[19] сосредоточился на этом вопросе. Версия 1.0 Руководства по EV была пересмотрена, чтобы охватить некорпоративные ассоциации при условии, что они были зарегистрированы в признанном агентстве, что значительно увеличило количество организаций, имеющих право на получение сертификата расширенной проверки.

Эффективность против фишинговых атак благодаря пользовательскому интерфейсу безопасности IE7.

В 2006 году исследователи из Стэнфордского университета и Microsoft Research провели исследование удобства использования. ^[21] дисплея EV в Internet Explorer 7 . В их статье сделан вывод, что «участники, не прошедшие обучение функциям безопасности браузера, не заметили индикатор расширенной проверки и не превзошли контрольную группу», тогда как «участники, которых попросили прочитать файл справки Internet Explorer, с большей вероятностью классифицировали как настоящие и фейковые сайты как законные».

Сертификаты, проверенные доменом, в первую очередь создавались центрами сертификации.

Хотя сторонники сертификатов EV утверждают, что они помогают защититься от фишинговых атак, ^[22] Эксперт по безопасности Питер Гутманн утверждает, что новый класс сертификатов восстанавливает прибыль центров сертификации, которая была подорвана гонкой вниз , которая произошла среди эмитентов в отрасли. По словам Питера Гутмана, сертификаты EV не эффективны против фишинга, поскольку сертификаты EV «не решают ни одной проблемы, которую используют фишеры». Он предполагает, что крупные коммерческие центры сертификации ввели сертификаты электромобилей, чтобы вернуть прежние высокие цены. ^[23]

См. также

Ссылки

^ Jump up to: ^а ^б «Google, Mozilla: мы меняем то, что вы видите в адресных строках Chrome и Firefox» . ЗДНЕТ . Проверено 27 июля 2023 г.
^ «Руководство по сертификатам EV SSL» . 31 августа 2013 г.
^ «Как мы можем улучшить подпись кода?» . еНЕДЕЛЯ . 9 мая 2008 г.
^ «Какие браузеры поддерживают расширенную проверку (EV) и отображают индикатор EV?» . Симантек . Архивировано из оригинала 31 декабря 2015 г. Проверено 28 июля 2014 г.
^ «Google Chrome: удаление индикаторов Secure и HTTPS» . Гаки . 18 мая 2018 года . Проверено 15 июня 2021 г.
^ Абрамс, Лоуренс (11 сентября 2019 г.). «Выпущен Chrome 77 с удаленным индикатором сертификата EV» . Пипящий компьютер . Проверено 14 июня 2021 г.
^ «Улучшенные индикаторы безопасности и конфиденциальности в Firefox 70» . Блог о безопасности Mozilla . 15 октября 2019 г. Проверено 17 октября 2019 г.
^ «Критерии аудита» . Октябрь 2013.
^ «Бюллетень 144 – Правила проверки имен .onion; Приложение F, раздел 4» . Форум CA/браузера . 18 февраля 2015 года . Проверено 6 марта 2017 г.
^ «Руководство по выдаче сертификатов расширенной проверки и управлению ими, версия 1.5.2» (PDF) . Форум CA/браузера. 16 октября 2014 г. п. 10 . Проверено 15 декабря 2014 г. Сертификаты Wildcard не допускаются для сертификатов EV.
^ «Реестр объектов» . 16 октября 2013 г.
^ «Репозиторий OID — 1.3.6.1.4.1.311.60.2.1.3 = {iso(1) идентифицированная организация(3) dod(6) интернет(1) частное(4) предприятие(1) 311 ev(60) 2 1 юрисдикцияOfIncorporationCountryName(3)}" . oid-info.com . Проверено 31 июля 2019 г.
^ «Репозиторий OID — 1.3.6.1.4.1.311.60.2.1.2 = {iso(1) идентифицированная организация(3) dod(6) интернет(1) частное(4) предприятие(1) 311 ev(60) 2 1 юрисдикцияOfIncorporationStateOrProvinceName(2)}" . oid-info.com . Проверено 31 июля 2019 г.
^ «Репозиторий OID — 1.3.6.1.4.1.311.60.2.1.1 = {iso(1) идентифицированная организация(3) dod(6) интернет(1) частное(4) предприятие(1) 311 ev(60) 2 1 юрисдикцияOfIncorporationLocalityName(1)}" . oid-info.com . Проверено 31 июля 2019 г.
^ «Репозиторий OID — 2.5.4.15 = {joint-iso-itu-t(2) ds(5) атрибутType(4) businessCategory(15)}» . oid-info.com . Проверено 31 июля 2019 г.
^ «Репозиторий OID — 2.5.4.5 = {joint-iso-itu-t(2) ds(5) AttributeType(4) SerialNumber(5)}» . oid-info.com . Проверено 31 июля 2019 г.
^ Гудин, Дэн (12 декабря 2017 г.). «Нет, это не тот веб-сайт Stripe, проверенный по протоколу HTTPS, как вы думаете» . Арс Техника . Проверено 19 декабря 2018 г.
^ Эверс, Джорис (2 февраля 2007 г.). «IE 7 дает безопасным веб-сайтам зеленый свет» . CNet . Проверено 27 февраля 2010 г. Цветная адресная строка — новое оружие в борьбе с фишинговыми атаками — служит знаком того, что сайту можно доверять, и дает пользователям Интернета зеленый свет для проведения на нем транзакций.
^ Jump up to: ^а ^б Ричмонд, Рива (19 декабря 2006 г.). «Программное обеспечение для обнаружения фишеров вызывает небольшие опасения» . Уолл Стрит Джорнал . Архивировано из оригинала 15 апреля 2008 года . Проверено 27 февраля 2010 г.
^ «Руководство по выдаче сертификатов расширенной проверки и управлению ими» (PDF) . www.cabforum.org . Архивировано из оригинала (PDF) 29 февраля 2012 г.
^ Джексон, Коллин; Дэниел Р. Саймон; Десни С. Тан; Адам Барт. «Оценка расширенной проверки и фишинговых атак «картинка в картинке»» (PDF) . Полезная безопасность 2007 .
^ «Общие вопросы о расширенной проверке EV SSL» . ДигиСерт, Инк . Проверено 15 мая 2013 г.
^ Гутманн, Питер (2014). Инженерная безопасность (PDF) . п. 73 . Проверено 13 марта 2015 г.

Внешние ссылки

[:0-1] Jump up to: ^а ^б «Google, Mozilla: мы меняем то, что вы видите в адресных строках Chrome и Firefox» . ЗДНЕТ . Проверено 27 июля 2023 г.

[2] «Руководство по сертификатам EV SSL» . 31 августа 2013 г.

[3] «Как мы можем улучшить подпись кода?» . еНЕДЕЛЯ . 9 мая 2008 г.

[4] «Какие браузеры поддерживают расширенную проверку (EV) и отображают индикатор EV?» . Симантек . Архивировано из оригинала 31 декабря 2015 г. Проверено 28 июля 2014 г.

[5] «Google Chrome: удаление индикаторов Secure и HTTPS» . Гаки . 18 мая 2018 года . Проверено 15 июня 2021 г.

[6] Абрамс, Лоуренс (11 сентября 2019 г.). «Выпущен Chrome 77 с удаленным индикатором сертификата EV» . Пипящий компьютер . Проверено 14 июня 2021 г.

[7] «Улучшенные индикаторы безопасности и конфиденциальности в Firefox 70» . Блог о безопасности Mozilla . 15 октября 2019 г. Проверено 17 октября 2019 г.

[8] «Критерии аудита» . Октябрь 2013.

[9] «Бюллетень 144 – Правила проверки имен .onion; Приложение F, раздел 4» . Форум CA/браузера . 18 февраля 2015 года . Проверено 6 марта 2017 г.

[10] «Руководство по выдаче сертификатов расширенной проверки и управлению ими, версия 1.5.2» (PDF) . Форум CA/браузера. 16 октября 2014 г. п. 10 . Проверено 15 декабря 2014 г. Сертификаты Wildcard не допускаются для сертификатов EV.

[11] «Реестр объектов» . 16 октября 2013 г.

[12] «Репозиторий OID — 1.3.6.1.4.1.311.60.2.1.3 = {iso(1) идентифицированная организация(3) dod(6) интернет(1) частное(4) предприятие(1) 311 ev(60) 2 1 юрисдикцияOfIncorporationCountryName(3)}" . oid-info.com . Проверено 31 июля 2019 г.

[13] «Репозиторий OID — 1.3.6.1.4.1.311.60.2.1.2 = {iso(1) идентифицированная организация(3) dod(6) интернет(1) частное(4) предприятие(1) 311 ev(60) 2 1 юрисдикцияOfIncorporationStateOrProvinceName(2)}" . oid-info.com . Проверено 31 июля 2019 г.

[14] «Репозиторий OID — 1.3.6.1.4.1.311.60.2.1.1 = {iso(1) идентифицированная организация(3) dod(6) интернет(1) частное(4) предприятие(1) 311 ev(60) 2 1 юрисдикцияOfIncorporationLocalityName(1)}" . oid-info.com . Проверено 31 июля 2019 г.

[15] «Репозиторий OID — 2.5.4.15 = {joint-iso-itu-t(2) ds(5) атрибутType(4) businessCategory(15)}» . oid-info.com . Проверено 31 июля 2019 г.

[16] «Репозиторий OID — 2.5.4.5 = {joint-iso-itu-t(2) ds(5) AttributeType(4) SerialNumber(5)}» . oid-info.com . Проверено 31 июля 2019 г.

[17] Гудин, Дэн (12 декабря 2017 г.). «Нет, это не тот веб-сайт Stripe, проверенный по протоколу HTTPS, как вы думаете» . Арс Техника . Проверено 19 декабря 2018 г.

[18] Эверс, Джорис (2 февраля 2007 г.). «IE 7 дает безопасным веб-сайтам зеленый свет» . CNet . Проверено 27 февраля 2010 г. Цветная адресная строка — новое оружие в борьбе с фишинговыми атаками — служит знаком того, что сайту можно доверять, и дает пользователям Интернета зеленый свет для проведения на нем транзакций.

[wsj-phishers-19] Jump up to: ^а ^б Ричмонд, Рива (19 декабря 2006 г.). «Программное обеспечение для обнаружения фишеров вызывает небольшие опасения» . Уолл Стрит Джорнал . Архивировано из оригинала 15 апреля 2008 года . Проверено 27 февраля 2010 г.

[20] «Руководство по выдаче сертификатов расширенной проверки и управлению ими» (PDF) . www.cabforum.org . Архивировано из оригинала (PDF) 29 февраля 2012 г.

[21] Джексон, Коллин; Дэниел Р. Саймон; Десни С. Тан; Адам Барт. «Оценка расширенной проверки и фишинговых атак «картинка в картинке»» (PDF) . Полезная безопасность 2007 .

[22] «Общие вопросы о расширенной проверке EV SSL» . ДигиСерт, Инк . Проверено 15 мая 2013 г.

[23] Гутманн, Питер (2014). Инженерная безопасность (PDF) . п. 73 . Проверено 13 марта 2015 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]