Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Расширенная проверка сертификатов ( EV ) представляет собой сертификат , соответствующий X.509 , что доказывает юридическое лицо владельца и подписывается органом сертификата ключа , который может выдавать сертификаты EV. Сертификаты EV могут использоваться так же, как и любые другие сертификаты X.509, в том числе для защиты веб- коммуникаций с помощью HTTPS и для подписи программного обеспечения и документов. В отличие от сертификатов, подтвержденных доменом, и сертификатов проверки организации, сертификаты EV могут быть выпущены только подмножеством центров сертификации. (CA) и требуют проверки личности запрашивающего лица перед выдачей сертификата.

По состоянию на февраль 2021 года все основные веб-браузеры (Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari) имеют меню, в которых отображается статус сертификата EV и подтвержденная юридическая идентичность сертификатов EV. Мобильные браузеры обычно отображают сертификаты EV так же, как сертификаты DV и OV. Из десяти самых популярных веб-сайтов в Интернете ни один из них не использует сертификаты электромобилей, и тенденция к их использованию находится в стороне. [1]

Для программного обеспечения подтвержденная юридическая личность отображается пользователю операционной системой (например, Microsoft Windows) перед продолжением установки.

Сертификаты с расширенной проверкой хранятся в формате файла, определяемом и обычно используют то же шифрование, что и сертификаты , проверенные организацией, и сертификаты , проверенные доменом , поэтому они совместимы с большинством программного обеспечения серверов и пользовательских агентов.

Критерии для выдачи сертификатов EV определены Руководством по расширенной проверке, установленным CA / Browser Forum . [2]

Для выдачи сертификата расширенной проверки ЦС требует проверки личности запрашивающего объекта и его рабочего статуса с контролем над доменным именем и хост-сервером.

История [ править ]

Введение CA / Browser Forum [ править ]

В 2005 году Мелих Абдулхайоглу , генеральный директор Comodo Group [ нужен лучший источник ] , созвал первое собрание организации, которая стала CA / Browser Forum , в надежде улучшить стандарты выдачи сертификатов SSL / TLS. [3] 12 июня 2007 г. CA / Browser Forum официально ратифицировал первую версию Руководства по расширенной проверке (EV) SSL, которая немедленно вступила в силу. Официальное одобрение положило конец более чем двухлетним усилиям и предоставило инфраструктуру для надежной идентификации веб-сайтов в Интернете. Затем, в апреле 2008 г., форум анонсировал версию 1.1 руководящих принципов, основанную на практическом опыте центров сертификации-членов и доверенной стороны.Поставщики прикладного программного обеспечения получили прибыль за месяцы, прошедшие с момента утверждения первой версии.

Создание специальных индикаторов UI в браузерах [ править ]

Большинство основных браузеров создали специальные индикаторы пользовательского интерфейса для страниц, загружаемых через HTTPS, защищенных сертификатом EV, вскоре после создания стандарта. Сюда входят Microsoft Edge 12, Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. [4] Кроме того, некоторые мобильные браузеры, включая Safari для iOS, Windows Phone, Firefox для Android, Chrome для Android и iOS, добавили такие индикаторы пользовательского интерфейса. Обычно браузеры с поддержкой EV отображают подтвержденную личность - обычно комбинацию названия организации и юрисдикции - содержащуюся в поле «Тема» сертификата EV.

В большинстве реализаций расширенный дисплей включает в себя:

  • Название компании или юридического лица, владеющего сертификатом;
  • Символ замка также в адресной строке, цвет которого меняется в зависимости от статуса безопасности веб-сайта.

Щелкнув символ замка, пользователь может получить дополнительную информацию о сертификате, включая имя центра сертификации, выдавшего сертификат EV.

Удаление специальных индикаторов пользовательского интерфейса [ править ]

В августе 2019 года браузеры Google Chrome 76 и Firefox 70 объявили о планах по переработке пользовательских интерфейсов, чтобы убрать акцент на сертификатах EV. [5] Firefox 70 удалил различие в омнибоксе или строке URL (сертификаты EV и DV отображаются аналогично только значком замка), но подробности о статусе сертификата EV доступны в более подробном представлении, которое открывается после щелчка по замку. значок. [6]

В Apple Safari на iOS 12 и MacOS Mojave (выпущенном в сентябре 2018 г.) удалено визуальное различие статуса электромобиля. [1]

Мотивация [ править ]

Важной мотивацией использования цифровых сертификатов с SSL / TLS было повышение доверия к онлайн-транзакциям, требуя от операторов веб-сайтов прохождения проверки в центре сертификации (ЦС) для получения сертификата.

Однако коммерческое давление вынудило некоторые центры сертификации ввести сертификаты, подтвержденные доменом . Сертификаты, подтвержденные доменом, существовали до стандартов проверки и обычно требуют лишь некоторого подтверждения контроля домена. В частности, сертификаты, подтвержденные доменом, не подтверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя домен может напоминать конкретное юридическое лицо.

В прошлом в пользовательских интерфейсах большинства браузеров не было четкой разницы между сертификатами с низкой проверкой и сертификатами, прошедшими более тщательную проверку. Поскольку любое успешное соединение SSL / TLS приведет к появлению зеленого значка замка в большинстве браузеров [ необходима цитата ] , пользователи вряд ли будут знать, подтвержден ли владелец веб-сайта или нет. В результате мошенники (включая фишинговые веб-сайты) могут использовать TLS для повышения предполагаемого доверия к своим веб-сайтам. Пользователи современных браузеров всегда могут проверить личность владельцев сертификатов, изучив детали выпущенного сертификата, который всегда указывает информацию о владельце сертификата, такую ​​как название организации и ее местонахождение.

Сертификаты EV проверяются на соответствие как базовым требованиям, так и требованиям расширенной проверки, которые накладывают дополнительные требования на то, как органы власти проверяют компании. К ним относятся ручные проверки всех доменных имен, запрошенных заявителем, проверки по официальным правительственным источникам, проверки по независимым источникам информации и телефонные звонки в компанию для подтверждения позиции заявителя. Если сертификат принят, зарегистрированный государством серийный номер предприятия, а также его физический адрес сохраняются в сертификате EV.

Устанавливая более строгие критерии выдачи и требуя последовательного применения этих критериев всеми участвующими центрами сертификации, сертификаты EV предназначены для восстановления уверенности пользователей в том, что оператор веб-сайта является юридически учрежденным бизнесом или организацией с поддающейся проверке идентичностью.

Критерии выдачи [ править ]

Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать EV, [7] и все центры сертификации во всем мире должны соблюдать одни и те же подробные требования к выдаче, которые направлены на:

  • Установить юридическую личность, а также оперативное и физическое присутствие владельца веб-сайта;
  • Установить, что заявитель является владельцем доменного имени или имеет исключительный контроль над доменным именем;
  • Подтвердить личность и полномочия лиц, действующих от имени владельца веб-сайта, и что документы, относящиеся к юридическим обязательствам, подписаны уполномоченным должностным лицом;
  • Ограничьте срок действия сертификата, чтобы обеспечить актуальность информации о сертификате. CA / B Forum также ограничивает максимальное повторное использование данных проверки домена и данных организации до 397 дней (не должно превышать 398 дней) с марта 2020 года.

За исключением [8] сертификатов расширенной проверки для доменов .onion , в противном случае невозможно получить сертификат расширенной проверки с подстановочными знаками - вместо этого все полностью определенные доменные имена должны быть включены в сертификат и проверены центром сертификации. [9] [10]

Идентификация сертификата расширенной проверки [ править ]

Сертификаты EV - это стандартные цифровые сертификаты X.509. Основной способ идентифицировать сертификат EV - обратиться к полю расширения политик сертификатов. Каждый эмитент использует свой идентификатор объекта (OID) в этом поле для идентификации своих сертификатов EV, и каждый OID документируется в Положении о практике сертификации эмитента. Как и в случае с корневыми центрами сертификации в целом, браузеры могут не распознавать всех издателей.

Сертификаты EV HTTPS содержат субъект с OID X.509 для jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.311.60.2.1.3), [11] jurisdictionOfIncorporationStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2) (необязательно), [12]jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1) (необязательно), [13] businessCategory (OID: 2.5.4.15) [14] и serialNumber(OID: 2.5.4.5), [15] с serialNumberуказанием к идентификатору у соответствующего государственного секретаря (США) или государственного регистратора предприятий (за пределами США) [ необходима ссылка ] , а также к идентификатору политики CA, чтобы программное обеспечение с поддержкой EV, такое как веб-браузер, могло их распознать . [16] Этот идентификатор [17] [ неудачная проверка ] это то, что определяет сертификат EV, и это разница с сертификатом OV.

Протокол статуса онлайн-сертификата [ править ]

Основная статья: Протокол статуса онлайн-сертификата

Критерии для выдачи сертификатов расширенной проверки не требуют, чтобы выдающие центры сертификации немедленно поддерживали онлайн-протокол статуса сертификатов для проверки отзыва. Однако требование своевременного ответа на проверки отзыва со стороны браузера побудило большинство центров сертификации, которые раньше этого не делали, реализовать поддержку OCSP. Раздел 26-A критериев выдачи требует, чтобы центры сертификации поддерживали проверку OCSP для всех сертификатов, выпущенных после 31 декабря 2010 г.

Критика [ править ]

Имена конфликтующих объектов [ править ]

Имена юридических лиц не уникальны, поэтому злоумышленник, который хочет выдать себя за юридическое лицо, может зарегистрировать другой бизнес с тем же именем (но, например, в другом штате или стране) и получить для него действительный сертификат, но затем использовать сертификат на олицетворение исходного сайта. В одной из демонстраций исследователь зарегистрировал компанию под названием «Stripe, Inc.». в Кентукки и показал, что браузеры отображают его аналогично тому, как они отображают сертификат платежной системы " Stripe, Inc. ", зарегистрированной в Делавэре.. Исследователь утверждал, что демонстрационная установка заняла около часа его времени, 100 долларов США на судебные издержки и 77 долларов США на сертификат. Кроме того, он отметил, что «при достаточном количестве щелчков мышью [пользователь] может [просмотреть] город и штат [где учреждена организация], но ни один из них не полезен для обычного пользователя, и они, скорее всего, будут просто слепо доверять индикатор [Сертификат EV] ». [18]

Доступность для малого бизнеса [ править ]

Поскольку сертификаты электромобилей продвигаются и сообщаются [19] как знак заслуживающего доверия веб-сайта, некоторые владельцы малого бизнеса выражают озабоченность [20], что сертификаты электромобилей дают чрезмерное преимущество крупным предприятиям. Опубликованные проекты Руководства по электромонтажным работам [21] исключили некорпоративные коммерческие предприятия, и первые сообщения в СМИ [20] были сосредоточены на этой проблеме. Версия 1.0 Руководства по EV была пересмотрена с целью охвата некорпоративных ассоциаций, если они были зарегистрированы в признанном агентстве, что значительно увеличило количество организаций, имеющих право на получение сертификата расширенной проверки. Список сертификатов EV с ценой и сравнением характеристик доступен для малого бизнеса, чтобы выбрать рентабельный сертификат.

Эффективность против фишинговых атак с пользовательским интерфейсом безопасности IE7 [ править ]

В 2006 году исследователи из Стэнфордского университета и Microsoft Research провели исследование удобства использования [22] дисплея электромобиля в Internet Explorer 7 . В их документе сделан вывод, что «участники, которые не прошли обучение функциям безопасности браузера, не заметили индикатор расширенной проверки и не превзошли контрольную группу», тогда как «участники, которых попросили прочитать файл справки Internet Explorer, с большей вероятностью классифицировали как реальные и поддельные сайты как законные ".

Сертификаты, подтвержденные доменом, изначально создавались центрами сертификации [ править ]

В то время как сторонники сертификатов EV утверждают, что они помогают против фишинговых атак, [23] эксперт по безопасности Питер Гутманн утверждает, что новый класс сертификатов восстанавливает прибыль ЦС, которая была подорвана из-за гонки вниз, которая произошла среди эмитентов в отрасли. Гутманн называет это явление «PKI-Me-Harder».

Введение ... так называемых сертификатов высокого уровня надежности или расширенной проверки (EV), которые позволяют центрам сертификации взимать за них больше, чем стандартные, - это просто случай округления вдвое большего числа подозреваемых - по-видимому, кого-то впечатлит это, но эффект от фишинга минимален, поскольку он не решает никаких проблем, которыми пользуются фишеры. В самом деле, циники сказали бы, что это была именно та проблема, которую сертификаты и центры сертификации должны были решить в первую очередь, и что сертификаты «высокой надежности» - это всего лишь способ вторичной оплаты существующей услуги. Несколько лет назад сертификаты все еще стоили несколько сотен долларов, но теперь, когда смещение базовых цен и качества сертификатов переместилось в точку, где их можно получить за 9 долларов.95 (или даже совершенно бесплатно) крупным коммерческим центрам сертификации пришлось заново изобрести себя, определив новый стандарт и убедив рынок вернуться к ценам, заплаченным в старые добрые времена.

Этот подход дежавю-все-снова и снова можно увидеть, изучив заявление Verisign о практике сертификации (CPS), документ, который регулирует выпуск сертификатов. Требования безопасности в сертификате EV 2008 CPS (за исключением незначительных различий в юридическом языке, используемом для их выражения) практически идентичны требованиям для сертификатов класса 3, перечисленных в Verisign версии 1.0 CPS с 1996 года. Сертификаты EV просто откатывают часы до подход, который уже потерпел неудачу в первый раз, когда он был опробован в 1996 году, когда в качестве побочного эффекта был изменен сдвиг базовой линии и установлены цены 1996 года. Были даже предложения относительно своего рода подхода к оценке стоимости сертификатов, основанного на скользящем окне, при котором, поскольку неизбежная гонка вниз снижает эффективную стоимость установленных классов сертификатов,программное обеспечение, которое их использует, считает их все менее и менее эффективными ...[24]

См. Также [ править ]

  • Квалифицированный сертификат аутентификации веб-сайта
  • Строгая безопасность транспорта HTTP

Ссылки [ править ]

  1. ^ a b «Сертификаты расширенной проверки мертвы» . Трой Хант . 2018-09-17 . Проверено 22 февраля 2021 года .
  2. ^ «Рекомендации по сертификатам EV SSL» .
  3. ^ "Как мы можем улучшить подписание кода?" . eWEEK .
  4. ^ "Какие браузеры поддерживают расширенную проверку (EV) и отображают индикатор EV?" . Symantec . Архивировано из оригинала на 2015-12-31 . Проверено 28 июля 2014 .
  5. ^ «Mozilla обновляет информацию в адресной строке Firefox по протоколу HTTPS - gHacks Tech News» . Гаки . Проверено 13 августа 2019 .
  6. ^ «Улучшенные индикаторы безопасности и конфиденциальности в Firefox 70» . Блог по безопасности Mozilla . Проверено 17 октября 2019 .
  7. ^ «Критерии аудита» .
  8. ^ «Бюллетень 144 - Правила проверки имен .onion; Приложение F, раздел 4» . CA / Форум браузеров . Проверено 6 марта +2017 .
  9. ^ «Рекомендации по выпуску сертификатов расширенной проверки и управлению ими, версия 1.5.2» (PDF) . CA / Форум браузеров. 2014-10-16. п. 10 . Проверено 15 декабря 2014 . Сертификаты с подстановочными знаками не допускаются для сертификатов EV.
  10. ^ "Где я могу купить SSL-сертификат Wildcard EV?" . Ресурсы Comodo SSL . 2018-04-20 . Проверено 22 февраля 2021 года . Проще говоря, продукта EV Wildcard нет ...
  11. ^ "Репозиторий OID - 1.3.6.1.4.1.311.60.2.1.3 = {iso (1) идентифицированная организация (3) dod (6) Интернет (1) частное (4) предприятие (1) 311 ev (60) 2 1 юрисдикцияСтраныИнкорпорации (3)} " . oid-info.com . Проверено 31 июля 2019 .
  12. ^ "Репозиторий OID - 1.3.6.1.4.1.311.60.2.1.2 = {iso (1) идентифицированная организация (3) dod (6) Интернет (1) частное (4) предприятие (1) 311 ev (60) 2 1 юрисдикцияOfIncorporationStateOrProvinceName (2)} " . oid-info.com . Проверено 31 июля 2019 .
  13. ^ "Репозиторий OID - 1.3.6.1.4.1.311.60.2.1.1 = {iso (1) идентифицированная организация (3) dod (6) Интернет (1) частное (4) предприятие (1) 311 ev (60) 2 1 юрисдикцияOfIncorporationLocalityName (1)} " . oid-info.com . Проверено 31 июля 2019 .
  14. ^ "Репозиторий OID - 2.5.4.15 = {Joint-iso-itu-t (2) ds (5) attributeType (4) businessCategory (15)}" . oid-info.com . Проверено 31 июля 2019 .
  15. ^ "Репозиторий OID - 2.5.4.5 = {Joint-iso-itu-t (2) ds (5) attributeType (4) serialNumber (5)}" . oid-info.com . Проверено 31 июля 2019 .
  16. ^ Уилсон, Бен. «Содержание сертификата EV» . CAB Forum . Проверено 31 июля 2019 .
  17. ^ "cert / ev_root_ca_metadata.cc - chromium / src / net - Git в Google" . chromium.googlesource.com . Проверено 1 августа 2019 .
  18. ^ Гудин, Дэн (2017-12-12). «Нет, вы думаете, что это не проверенный HTTPS веб-сайт Stripe» . Ars Technica . Проверено 19 декабря 2018 .
  19. Эверс, Джорис (2 февраля 2007 г.). «IE 7 дает безопасным веб-сайтам зеленый свет» . CNet . Проверено 27 февраля 2010 . Цветная адресная строка, новое оружие в борьбе с фишинговыми атаками, служит признаком того, что сайту можно доверять, что дает пользователям Интернета зеленый свет для совершения на нем транзакций.
  20. ^ a b Ричмонд, Рива (19 декабря 2006 г.). "Программное обеспечение для обнаружения" фишеров "раздражает мелкие проблемы" . The Wall Street Journal . Архивировано из оригинального 15 апреля 2008 года . Проверено 27 февраля 2010 .
  21. ^ https://www.cabforum.org/Guidelines_v1_2.pdf Архивировано 29 февраля 2012 г. на Wayback Machine
  22. ^ Джексон, Коллин; Дэниел Р. Саймон; Десни С. Тан; Адам Барт. «Оценка расширенной проверки и фишинговых атак« картинка в картинке » (PDF) . Полезная безопасность 2007 .
  23. ^ «Общие вопросы о расширенной валидации EV SSL» . DigiCert, Inc . Проверено 15 мая 2013 года .
  24. Перейти ↑ Gutmann, Peter (2014). Инженерная безопасность (PDF) . п. 73 . Проверено 13 марта 2015 года .

Внешние ссылки [ править ]

  • Веб-сайт CA / Browser Forum
  • Зеленый замок Firefox для сертификатов электромобилей