Сертификат расширенной проверки - Extended Validation Certificate

An Сертификат расширенной проверки (EV) является сертификатом, соответствующим X.509 это доказывает юридическое лицо собственника и подписано центр сертификации ключ, который может выдавать сертификаты EV. Сертификаты EV могут использоваться так же, как и любые другие сертификаты X.509, включая обеспечение безопасности. сеть связь с HTTPS и программное обеспечение для подписи и документы. В отличие от подтвержденный доменом сертификаты и организация-проверка сертификаты, сертификаты EV могут быть выданы только подмножеством центры сертификации (CA) и требуют проверки личности запрашивающего лица перед выдачей сертификата.

К сентябрю 2020 года веб-браузеры Google Chrome, Mozilla Firefox и Apple Safari будут отображать подтвержденную юридическую личность в пользовательском интерфейсе информации о сертификатах. До августа 2019 года они отображали «зеленую полосу» рядом с URL-адресом или вместо него (Safari). Мобильные браузеры обычно отображают сертификаты EV так же, как сертификаты DV и OV. Из десяти самых популярных веб-сайтов в Интернете ни один из них не использует сертификаты электромобилей, и тенденция к их использованию находится в стороне.[нужна цитата ]

За программного обеспечения, подтвержденная личность отображается пользователю Операционная система (например, Microsoft Windows), прежде чем продолжить установку.

Сертификаты расширенной проверки хранятся в формате файла, указанном и обычно используют тот же шифрование в качестве сертификаты, подтвержденные организацией и сертификаты, подтвержденные доменом, поэтому они совместимы с большинством серверных программ и программных агентов.

Критерии для выдачи сертификатов EV определяются Рекомендации по расширенной проверке[1] обнародованный CA / Форум браузеров, добровольная организация, членами которой являются ведущие центры сертификации и поставщики программного обеспечения для Интернета, а также представители юридических и аудиторских профессий.[2]

Чтобы выдать сертификат расширенной проверки, ЦС требует проверки личности запрашивающего объекта и его рабочего статуса с контролем над доменным именем и хост-сервером.

История

Введение CA / Browser Forum

В 2005 году Мелих Абдулхайоглу, Генеральный директор Comodo Group[нужен лучший источник ], созвал первое собрание организации, ставшей CA / Форум браузеров в надежде улучшить стандарты выдачи сертификатов SSL / TLS.[3] 12 июня 2007 г. CA / Browser Forum официально ратифицировал первую версию Руководства по расширенной проверке (EV) SSL, которая немедленно вступила в силу. Официальное одобрение положило конец более чем двухлетним усилиям и предоставило инфраструктуру для надежной идентификации веб-сайтов в Интернете. Затем, в апреле 2008 года, форум анонсировал версию 1.1 руководящих принципов, основанную на практическом опыте центров сертификации-членов и доверяющей стороны. программное обеспечение поставщики выиграли за месяцы, прошедшие с момента утверждения первой версии.

Создание специальных индикаторов UI в браузерах

Большинство основных браузеров создали специальные индикаторы пользовательского интерфейса для страниц, загружаемых через HTTPS, защищенных сертификатом EV, вскоре после создания стандарта. Это включает в себя Microsoft Edge 12, Гугл Хром 1.0, Internet Explorer 7.0, Fire Fox 3, Сафари 3.2, Опера 9.5.[4] Кроме того, некоторые мобильные браузеры, включая Safari для iOS, Windows Phone, Firefox для Android, Chrome для Android и iOS, добавили такие индикаторы пользовательского интерфейса. Обычно браузеры с поддержкой EV отображают подтвержденную личность - обычно комбинацию названия организации и юрисдикции - содержащуюся в поле «Тема» сертификата EV.

В большинстве реализаций расширенный дисплей включает в себя:

  • Название компании или юридического лица, владеющего сертификатом;
  • Символ замка, также расположенный в адресной строке, который различается по цвету в зависимости от статуса безопасности веб-сайта.

Нажав на символ замка, пользователь может получить дополнительную информацию о сертификате, включая имя центра сертификации, выдавшего сертификат EV.

Удаление специальных индикаторов UI

В августе 2019 года браузеры Google Chrome 76 и Firefox 70 объявили о планах по переработке пользовательских интерфейсов, чтобы убрать акцент на сертификатах EV.[5] Firefox 70 удалил различие в омнибоксе или строке URL (сертификаты EV и DV отображаются аналогично только значком замка), но подробности о статусе сертификата EV доступны в более подробном представлении, которое открывается после нажатия на значок замка.[6]

Мотивация

Важная мотивация для использования цифровых сертификатов с SSL / TLS заключалась в том, чтобы повысить доверие к онлайн-транзакциям, потребовав от операторов веб-сайтов прохождения проверки в центре сертификации (ЦС) для получения сертификата.

Однако коммерческое давление побудило некоторые центры сертификации ввести "подтвержденный доменом "сертификаты. Сертификаты, проверенные доменом, существовали до стандартов проверки и обычно требуют лишь некоторого подтверждения контроля домена. В частности, сертификаты, проверенные доменом, не подтверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя домен может напоминать конкретное юридическое лицо.

В прошлом в пользовательских интерфейсах большинства браузеров не проводилось четкой разграничения между сертификатами с низкой проверкой и сертификатами, прошедшими более тщательную проверку. Поскольку любой успешный SSL / TLS подключение приведет к появлению зеленого значка замка в большинстве браузеров[нужна цитата ], пользователи вряд ли знали, подтвержден ли владелец веб-сайта. В результате мошенники (в том числе фишинг веб-сайты) могут использовать TLS для повышения доверия к своим веб-сайтам. Пользователи современных браузеров всегда могут проверить личность владельцев сертификатов, изучив детали выпущенного сертификата, который всегда указывает информацию о владельце сертификата, такую ​​как название организации и ее местонахождение.

Сертификаты электромобилей проверяются на соответствие как базовым требованиям, так и требованиям расширенной проверки, которые предъявляют дополнительные требования к тому, как органы власти проверяют компании. К ним относятся ручные проверки всех доменных имен, запрошенных заявителем, проверки по официальным правительственным источникам, проверки по независимым источникам информации и телефонные звонки в компанию для подтверждения позиции заявителя. Если сертификат принят, зарегистрированный государством серийный номер предприятия, а также его физический адрес сохраняются в сертификате EV.

Устанавливая более строгие критерии выдачи и требуя последовательного применения этих критериев всеми участвующими центрами сертификации, сертификаты EV предназначены для восстановления уверенности пользователей в том, что оператор веб-сайта является юридически учрежденным бизнесом или организацией с поддающейся проверке идентичностью.

Тем не менее, все еще существует обеспокоенность тем, что такое же отсутствие подотчетности, которое привело к потере общественного доверия к сертификаты, подтвержденные доменом приведет к слабой практике сертификации, что также снизит ценность сертификатов электромобилей.[7]

Критерии выдачи

Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать EV,[8] и все центры сертификации во всем мире должны соблюдать одни и те же подробные требования к выдаче, которые направлены на:

  • Установить личность, а также оперативное и физическое присутствие владельца веб-сайта;
  • Установить, что заявитель является владельцем доменного имени или имеет исключительный контроль над доменным именем;
  • Подтвердить личность и полномочия лиц, действующих от имени владельца веб-сайта, и что документы, относящиеся к юридическим обязательствам, подписаны уполномоченным должностным лицом;
  • Ограничьте срок действия сертификата, чтобы информация о сертификате была актуальной. CA / B Forum также ограничивает максимальное повторное использование данных проверки домена и данных организации до 397 дней (не должно превышать 398 дней) с марта 2020 года.

С исключением[9] сертификатов расширенной проверки для .лук доменов, иначе получить подстановочный знак Сертификат расширенной проверки - вместо этого все полностью определенные доменные имена должны быть включены в сертификат и проверены центром сертификации.[10]

Идентификация сертификата расширенной проверки

Сертификаты EV - это стандартные цифровые сертификаты X.509. Основной способ идентифицировать сертификат EV - обратиться к полю расширения политик сертификатов. Каждый эмитент использует разные идентификатор объекта (OID) в этом поле, чтобы идентифицировать их сертификаты EV, и каждый OID задокументирован в Положении о практике сертификации эмитента. Как и в случае с корневыми центрами сертификации, браузеры могут не распознавать всех издателей.

Сертификаты EV HTTPS содержат тему с OID X.509 для юрисдикцияИнкорпорацияСтранаНазвание (OID: 1.3.6.1.4.1.311.60.2.1.3),[11] юрисдикцияOfIncorporationStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2) (необязательно),[12]юрисдикция (OID: 1.3.6.1.4.1.311.60.2.1.1) (необязательно),[13] businessCategory (OID: 2.5.4.15)[14] и серийный номер (OID: 2.5.4.5),[15] с серийный номер указание на идентификатор у соответствующего государственного секретаря (США) или государственного регистратора предприятий (за пределами США)[нужна цитата ], а также специальный идентификатор политики CA, чтобы программное обеспечение с поддержкой EV, такое как веб-браузер, могло их распознать.[16] Этот идентификатор[17][неудачная проверка ] это то, что определяет сертификат EV, и это разница с сертификатом OV.

Протокол статуса онлайн-сертификата

Основная статья: Протокол статуса онлайн-сертификата

Критерии для выдачи сертификатов расширенной проверки не требуют, чтобы выдающие центры сертификации немедленно поддерживали онлайн-протокол статуса сертификатов для проверки отзыва. Однако требование своевременного ответа на проверки отзыва со стороны браузера побудило большинство центров сертификации, которые раньше этого не делали, реализовать поддержку OCSP. Раздел 26-A критериев выдачи требует, чтобы центры сертификации поддерживали проверку OCSP для всех сертификатов, выпущенных после 31 декабря 2010 г.

Критика

Имена конфликтующих сущностей

Имена юридических лиц не уникальны, поэтому злоумышленник, который хочет выдать себя за юридическое лицо, может зарегистрировать другой бизнес с тем же именем (но, например, в другом штате или стране) и получить для него действительный сертификат, но затем использовать сертификат на олицетворение исходного сайта. В ходе одной демонстрации исследователь зарегистрировал компанию под названием «Stripe, Inc.». в Кентукки и показал, что браузеры отображают это аналогично тому, как они отображают сертификат платежной системы "Stripe, Inc. " включены в Делавэр. Исследователь утверждал, что демонстрационная установка заняла около часа его времени, 100 долларов США на судебные издержки и 77 долларов США на сертификат. Кроме того, он отметил, что «с достаточным количеством щелчков мыши [пользователь] может [просмотреть] город и штат [где учреждена организация], но ни один из них не полезен для обычного пользователя, и они, скорее всего, будут просто слепо доверять индикатор [Сертификат EV] ».[18]

Доступность для малого бизнеса

Поскольку сертификаты EV продвигаются и сообщаются[19] в качестве знака надежности веб-сайта некоторые владельцы малого бизнеса выразили обеспокоенность[20] что сертификаты EV дают чрезмерное преимущество для крупного бизнеса. Опубликованные проекты Руководства по электромобилям[21] исключены некорпоративные коммерческие предприятия и ранние сообщения в СМИ[20] сосредоточился на этом вопросе. Версия 1.0 Руководства по EV была пересмотрена, чтобы охватить некорпоративные ассоциации, если они были зарегистрированы в признанном агентстве, что значительно увеличило количество организаций, которые имеют право на получение сертификата расширенной проверки. Список сертификатов электромобилей со сравнением цен и характеристик доступен для малого бизнеса, чтобы выбрать рентабельный сертификат.

Эффективность против фишинговых атак с пользовательским интерфейсом безопасности IE7

В 2006 году исследователи из Стэндфордский Университет и Microsoft Research провели исследование юзабилити[22] дисплея EV в Internet Explorer 7. В их документе сделан вывод, что «участники, которые не прошли обучение функциям безопасности браузера, не заметили индикатор расширенной проверки и не превзошли контрольную группу», тогда как «участники, которых попросили прочитать файл справки Internet Explorer, с большей вероятностью классифицировали как реальные и поддельные сайты как законные ".

Сертификаты, подтвержденные доменом, изначально создавались центрами сертификации

Хотя сторонники сертификатов EV утверждают, что они помогают против фишинговых атак,[23] эксперт по безопасности Питер Гутманн заявляет, что новый класс сертификатов восстанавливает прибыль ЦС, которая была подорвана из-за гонка ко дну произошедшее среди эмитентов отрасли. Гутманн называет это явление «PKI-Me-Harder».

Введение ... так называемых сертификатов высокого уровня надежности или расширенной проверки (EV), которые позволяют центрам сертификации взимать за них больше, чем стандартные, - это просто случай округления вдвое большего числа подозреваемых - по-видимому, кого-то впечатлит это, но эффект от фишинга минимален, так как он не решает никаких проблем, которые используют фишеры. В самом деле, циники сказали бы, что это была именно та проблема, которую сертификаты и центры сертификации должны были решить в первую очередь, и что сертификаты «высокой надежности» - это всего лишь способ вторичной оплаты существующей услуги. Несколько лет назад сертификаты все еще стоили несколько сотен долларов, но теперь, когда смещение базовой линии цен и качества сертификатов перешло к точке, где их можно получить за 9,95 доллара (или даже совсем бесплатно), крупным коммерческим центрам сертификации пришлось изобретать заново. сами, определив новый стандарт и убедив рынок вернуться к ценам, заплаченным в старые добрые времена.

Этот повторяющийся подход «дежавю» можно увидеть, изучив заявление Verisign о практике сертификации (CPS), документ, который регулирует выпуск сертификатов. Требования безопасности в сертификате EV 2008 CPS (за исключением незначительных различий в юридическом языке, используемом для их выражения) практически идентичны требованиям для сертификатов класса 3, перечисленным в Verisign версии 1.0 CPS с 1996 года. Сертификаты EV просто откатывают часы до подход, который уже потерпел неудачу в первый раз, когда он был опробован в 1996 году, когда в качестве побочного эффекта был изменен сдвиг базовой линии и начислены цены 1996 года. Были даже предложения относительно своего рода подхода к оценке стоимости сертификатов по принципу скользящего окна, при котором, поскольку неизбежная гонка за дно удешевляет эффективную ценность установленных классов сертификатов, они рассматриваются как все менее и менее эффективные со стороны программного обеспечения, использующего их…[24]

Смотрите также

Рекомендации

  1. ^ «Рекомендации по сертификатам EV SSL».
  2. ^ "Участники форума CA / Browser".
  3. ^ «Как мы можем улучшить подписывание кода?». eWEEK.
  4. ^ «Какие браузеры поддерживают расширенную проверку (EV) и отображают индикатор EV?». Symantec. Архивировано из оригинал 31 декабря 2015 г.. Получено 2014-07-28.
  5. ^ «Mozilla обновляет информацию в адресной строке Firefox по протоколу HTTPS - gHacks Tech News». Гаки. Получено 2019-08-13.
  6. ^ «Улучшенные индикаторы безопасности и конфиденциальности в Firefox 70». Блог о безопасности Mozilla. Получено 2019-10-17.
  7. ^ Хагай Бар-Эл. «Неизбежный крах модели сертификата». Хагай Бар-Эль по безопасности.
  8. ^ «Критерии аудита».
  9. ^ «Бюллетень 144 - Правила проверки имен .onion; Приложение F, раздел 4». CA / Форум браузеров. Получено 6 марта 2017.
  10. ^ «Руководство по выпуску сертификатов расширенной проверки и управлению ими, версия 1.5.2» (PDF). CA / Форум браузеров. 2014-10-16. п. 10. Получено 2014-12-15. Подстановочные сертификаты не допускаются для сертификатов EV.
  11. ^ "Репозиторий OID - 1.3.6.1.4.1.311.60.2.1.3 = {iso (1) идентифицированная организация (3) dod (6) Интернет (1) частное (4) предприятие (1) 311 ev (60) 2 1] юрисдикцияСтраныИнкорпорации (3)} ". oid-info.com. Получено 2019-07-31.
  12. ^ "Репозиторий OID - 1.3.6.1.4.1.311.60.2.1.2 = {iso (1) идентифицированная организация (3) dod (6) Интернет (1) частное (4) предприятие (1) 311 ev (60) 2 1» юрисдикцияOfIncorporationStateOrProvinceName (2)} ". oid-info.com. Получено 2019-07-31.
  13. ^ "Репозиторий OID - 1.3.6.1.4.1.311.60.2.1.1 = {iso (1) идентифицированная организация (3) dod (6) Интернет (1) частное (4) предприятие (1) 311 ev (60) 2 1» юрисдикцияOfIncorporationLocalityName (1)} ". oid-info.com. Получено 2019-07-31.
  14. ^ "Репозиторий OID - 2.5.4.15 = {Joint-iso-itu-t (2) ds (5) attributeType (4) businessCategory (15)}". oid-info.com. Получено 2019-07-31.
  15. ^ "Репозиторий OID - 2.5.4.5 = {Joint-iso-itu-t (2) ds (5) attributeType (4) serialNumber (5)}". oid-info.com. Получено 2019-07-31.
  16. ^ Уилсон, Бен. «Содержание сертификата EV». CAB Форум. Получено 2019-07-31.
  17. ^ "cert / ev_root_ca_metadata.cc - chromium / src / net - Git в Google". chromium.googlesource.com. Получено 2019-08-01.
  18. ^ Гудин, Дэн (12 декабря 2017 г.). "Нет, вы думаете, что это не проверенный HTTPS веб-сайт Stripe". Ars Technica. Получено 2018-12-19.
  19. ^ Эверс, Джорис (2 февраля 2007 г.). «IE 7 дает безопасным веб-сайтам зеленый свет». CNet. Получено 2010-02-27. Цветная адресная строка - новое оружие в борьбе с фишинговыми атаками - служит знаком того, что сайту можно доверять, что дает пользователям Интернета зеленый свет для проведения на нем транзакций.
  20. ^ а б Ричмонд, Рива (19 декабря 2006 г.). "Программное обеспечение для обнаружения" фишеров "раздражает мелкие проблемы". Журнал "Уолл Стрит. Архивировано из оригинал 15 апреля 2008 г.. Получено 2010-02-27.
  21. ^ https://www.cabforum.org/Guidelines_v1_2.pdf В архиве 29 февраля 2012 г. Wayback Machine
  22. ^ Джексон, Коллин; Дэниел Р. Саймон; Десни С. Тан; Адам Барт. «Оценка расширенной проверки и фишинговых атак« картинка в картинке »» (PDF). Полезная безопасность 2007.
  23. ^ «Общие вопросы о расширенной проверке EV SSL». DigiCert, Inc. Получено 15 мая 2013.
  24. ^ Гутманн, Питер (2014). Инженерная безопасность (PDF). п. 73. Получено 13 марта 2015.

внешняя ссылка