Сертификат Extended Validation

Сертификат EV SSL (англ. Extended Validation — расширенная проверка) — вид сертификата, для получения которого необходимо подтвердить существование компании, на имя которой он оформляется в центре сертификации, а также факт владения этой компанией сертифицированными доменными именами.

Браузеры информировали пользователей о том, что у веб-сайта есть EV SSL сертификат. Они либо отображали вместо доменного имени название компании, либо размещали название компании рядом. Тем не менее, позднее разработчики браузеров объявили о том, что у них появились планы отключить эту функцию^[1].

EV-сертификаты используют те же самые способы защиты, что и сертификаты DV, IV и OV: более высокий уровень защиты обеспечивается за счет необходимости подтверждения существования компании в центре сертификации.

Критерии выдачи сертификатов EV определены специальным документом: Guidelines for Extended Validation^[2] (Руководством по расширенной проверке), в настоящее время (по состоянию на 1 августа 2019 г.) версия этого документа — 1.7.0. Руководство разработано CA/Browser Forum, организацией, членами которой являются центры сертификации и поставщики программного обеспечения для интернета, а также представители юридических и аудиторских профессий^[3].

История

В 2005 году генеральный директор Comodo Group Мелих Абдулхайоглу созвал первое совещание организации, которая впоследствии станет CA/Browser Forum. Целью совещания было улучшить стандарты выдачи сертификатов SSL/ TLS^[4]. 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Руководства для расширенной проверки, документ вступил в силу немедленно. Официальное одобрение привело к завершению работы по предоставлению инфраструктуры для идентификации доверенных веб-сайтов в Интернете. Затем, в апреле 2008 года, CA/Browser Forum объявил о появлении новой версии Руководства (1.1). Новая версия была основана на опыте центров сертификации и производителей программного обеспечения.

Мотивация к получению сертификата

Важной мотивацией для использования цифровых сертификатов с SSL / TLS — увеличение доверия к онлайн-транзакциям. Для этого требуется, чтобы операторы веб-сайтов проходили проверку для получения сертификата.

Однако коммерческое давление побудило некоторые центры сертификации ввести сертификаты более низкого уровня (domain-validation). Сертификаты domain validation существовали до extended validation и, как правило, их получение требует лишь некоторого подтверждения контроля домена. В частности, сертификаты domain validation не утверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя на самом сайте может быть написано, что он принадлежит юридическому лицу.

Сначала пользовательские интерфейсы большинства браузеров не различали сертификаты domain validation и extended validation. Поскольку любое успешное соединение SSL / TLS приводило к появлению зелёного значка замка в большинстве браузеров, пользователи вряд ли знали, подтверждён ли сайт extended validation, или нет, однако по состоянию на октябрь 2020 года, все основные браузеры убрали значки EV. В результате мошенники (включая тех, которые занимаются фишингом) могли использовать TLS, чтобы повысить доверие к своим веб-сайтам. Пользователи браузеров могут проверить личность владельцев сертификатов, изучив сведения о выданном сертификате, которые указаны в нём (включая название организации и её адрес).

Сертификаты EV проверяются на соответствие как базовым требованиям, так и на соответствие расширенным требованиям. Необходима ручная проверка доменных имен, запрошенных заявителем, проверка по официальным правительственным источникам, проверка по независимым источникам информации и телефонные звонки в компанию. Если сертификат был выдан, зарегистрированный центром сертификации серийный номер предприятия, а также физический адрес сохраняются в нём.

Сертификаты EV предназначены для повышения уверенности пользователей в том, что оператор веб-сайта является действительно существующей организацией^[5].

Тем не менее, по-прежнему существует опасение, что тот же недостаток ответственности, который привел к утрате доверия общественности к сертификатом DV, приведет к тому, что будет утрачена ценность сертификатов EV^[6].

Критерии выдачи

Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать сертификаты EV^[7], и все центры должны следовать требованиям к выпуску, которые направлены на:

• Установление существования юридического лица и владельца сайта
• Установление того факта, что юридическое лицо действительно владеет этим доменом
• Подтверждение личности владельца сайта и полномочий лиц, действующих от имени владельца сайта.

За исключением^[8] сертификатов EV для доменов .onion, невозможно получить wildcard-сертификат с Extended Validation — вместо этого все полные доменные имена должны быть включены в сертификат и проверены центром сертификации^[9].

Пользовательский интерфейс

Браузеры, поддерживающие EV, отображают информацию о том, что есть EV-сертификат: обычно пользователю показывается название и расположение организации при просмотре информации о сертификате. Браузеры Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera и Google Chrome поддерживают EV.

Правила расширенной проверки требуют, чтобы участвующие центры сертификации назначали определённый идентификатор EV после того, как центр сертификации завершил независимый аудит и выполнил другие критерии. Браузеры запоминают этот идентификатор, сопоставляют идентификатор EV в сертификате с тем, который находится в браузере для рассматриваемого центра сертификации: если они совпадают, сертификат признаётся верным. Во многих браузерах о наличии сертификата EV сигнализирует:

• Название компании или организации, которой принадлежит сертификат.
• Отличительный цвет, обычно зелёный, отображаемый в адресной строке, который показывает, что сертификат был получен (по мере увеличения распространения HTTPS, браузеры отказываются от зелёного цвета в адресной строке, например, так сделал Google Chrome^[10]).
• Символ «замок», также в адресной строке (возможно, браузеры будут отказываться от отображения этого символа^[10]).

Нажав на «замок», вы можете получить больше информации о сертификате, включая название центра сертификации, который выдал сертификат EV.

Поддержка

Следующие браузеры определяют EV сертификат:^[11]:

• Microsoft Edge 12+
• Google Chrome 1.0+
• Internet Explorer 7.0+
• Firefox 3+
• Safari 3.2+
• Opera 9.5+

Поддерживаемые браузеры мобильных устройств

• Safari для iOS
• браузер Windows Phone
• Firefox для Android
• Chrome для Android и iOS

Поддерживаемые веб-сервера

Расширенная проверка поддерживает все веб-серверы, если они поддерживают HTTPS.

Расширенная проверка сертификата идентификации

Сертификаты EV — стандартные цифровые сертификаты X.509. Основным способом идентификации сертификата EV является обращение к полю Certificate Policies. Каждый центр, выпускающий сертификат, использует свой идентификатор (OID) для идентификации своих сертификатов EV, и каждый OID документирован в центре сертификации. Как и в случае корневых центров сертификации, браузеры могут не распознавать всех тех, кто выпускает сертификаты.

Issuer	OID	Certification Practice Statement
Actalis	1.3.159.1.17.1	Actalis CPS v2.3,
AffirmTrust	1.3.6.1.4.1.34697.2.1	AffirmTrust CPS v1.1, p. 4
	1.3.6.1.4.1.34697.2.2
	1.3.6.1.4.1.34697.2.3
	1.3.6.1.4.1.34697.2.4
A-Trust	1.2.40.0.17.1.22	a.sign SSL EV CPS v1.3.4
Buypass	2.16.578.1.26.1.3.3	Buypass Class 3 EV CPS
Camerfirma	1.3.6.1.4.1.17326.10.14.2.1.2	Camerfirma CPS v3.2.3
	1.3.6.1.4.1.17326.10.8.12.1.2
Comodo Group	1.3.6.1.4.1.6449.1.2.1.5.1	Comodo EV CPS, p. 28
DigiCert	2.16.840.1.114412.2.1	DigiCert EV CPS v. 1.0.3, p. 56
	2.16.840.1.114412.1.3.0.2
DigiNotar (нерабочий[12])	2.16.528.1.1001.1.1.1.12.6.1.1.1	N/A
D-TRUST	1.3.6.1.4.1.4788.2.202.1	D-TRUST CP
E-Tugra	2.16.792.3.0.4.1.1.4	E-Tugra Certification Practice Statement (CPS) (недоступная ссылка), p. 2
Entrust	2.16.840.1.114028.10.1.2	Entrust EV CPS
ETSI	0.4.0.2042.1.4	ETSI TS 102 042 V2.4.1, p. 18
	0.4.0.2042.1.5
Firmaprofesional	1.3.6.1.4.1.13177.10.1.3.10	SSL Secure Web Server Certificates, p. 6
GeoTrust	1.3.6.1.4.1.14370.1.6	GeoTrust EV CPS v. 2.6, p. 28
GlobalSign	1.3.6.1.4.1.4146.1.1	GlobalSign CP/CPS Repository
Go Daddy	2.16.840.1.114413.1.7.23.3	Go Daddy CP/CPS Repository
Izenpe	1.3.6.1.4.1.14777.6.1.1	DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Архивная копия от 30 апреля 2015 на Wayback Machine,
Kamu Sertifikasyon Merkezi	2.16.792.1.2.1.1.5.7.1.9	TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE
Logius PKIoverheid	2.16.528.1.1003.1.2.7	CPS PA PKIoverheid Extended Validation Root v1.5
Network Solutions	1.3.6.1.4.1.782.1.2.1.8.1	Network Solutions EV CPS v. 1.1, 2.4.1
OpenTrust/DocuSign France	1.3.6.1.4.1.22234.2.5.2.3.1	SSL Extended Validation CA Certificate Policy version
QuoVadis	1.3.6.1.4.1.8024.0.2.100.1.2	QuoVadis Root CA2 CP/CPS, p. 34
SECOM Trust Systems	1.2.392.200091.100.721.1	SECOM Trust Systems EV CPS Архивная копия от 24 июля 2011 на Wayback Machine (in Japanese), p. 2
SHECA	1.2.156.112570.1.1.3	SHECA EV CPS
Starfield Technologies	2.16.840.1.114414.1.7.23.3	Starfield EV CPS
StartCom Certification Authority	1.3.6.1.4.1.23223.2	StartCom CPS, no. 4
	1.3.6.1.4.1.23223.1.1.1
Swisscom	2.16.756.1.83.21.0	Swisscom Root EV CA 2 CPS (in German), p. 62
SwissSign	2.16.756.1.89.1.2.1.1	SwissSign Gold CP/CPS
T-Systems	1.3.6.1.4.1.7879.13.24.1	CP/CPS TeleSec ServerPass v. 3.0, p. 14
Thawte	2.16.840.1.113733.1.7.48.1	Thawte EV CPS v. 3.3, p. 95
Trustwave	2.16.840.1.114404.1.1.2.4.1	Trustwave EV CPS [1]
Symantec (VeriSign)	2.16.840.1.113733.1.7.23.6	Symantec EV CPS
Verizon Business (formerly Cybertrust)	1.3.6.1.4.1.6334.1.100.1	Cybertrust CPS v.5.2 Архивная копия от 15 июля 2011 на Wayback Machine, p. 20
Wells Fargo	2.16.840.1.114171.500.9	WellsSecure PKI CPS [2]
WoSign	1.3.6.1.4.1.36305.2	WoSign CPS V1.2.4, p. 21

Критика

Доступность малому бизнесу

Сертификаты EV задумывались как способ подтвердить надежность сайта^[13], но некоторые малые компании считали^[14], что сертификаты EV могут дать преимущество только крупному бизнесу. Пресса заметила, что есть помехи в получении сертификата^[14]. Версия 1.0 была пересмотрена, разрешив регистрацию EV-сертификатов в том числе и малым предприятиям, что позволило увеличить количество выданных сертификатов.

Эффективность против фишинговых атак

В 2006 году ученые Стэнфордского университета и Microsoft Research провели исследования, касающиеся того, как отображались сертификаты EV^[15] в Internet Explorer 7. Согласно результатам исследования, «люди, которые не разбирались в браузере, не обратили внимания на EV SSL, и не смогли получить результат, который был бы лучше, чем у контрольной группы». В то же время «участники, которых попросили прочитать файл Help, хотели признать правильными как настоящие сайты, так и фальшивые».

Мнение эксперта об эффективности EV в борьбе с фишингом

Когда говорят о EV, заявляют, что эти сертификаты помогают защититься от фишинга^[16], но новозеландский эксперт Питер Гутман считает, что на самом деле эффект в борьбе с фишингом минимален. По его мнению, сертификаты EV — просто способ заставить заплатить больше денег^[17].

Похожие названия компаний

Названия компаний могут совпадать. Атакующий может зарегистрировать свою компанию с тем же названием, создать SSL сертификат, и сделать сайт, похожий на оригинальный. Ученый создал компанию «Stripe, Inc.» в Kентукки и заметил, что надпись в браузере очень похожа на надпись компании Stripe, Inc, находящейся в Делавэре. Ученый подсчитал: зарегистрировать такой сертификат стоило ему всего 177 долларов (100 долларов за регистрацию компании и 77 долларов за сертификат). Он заметил, что с помощью нескольких кликов мыши можно посмотреть адрес регистрации сертификата, но большинство пользователей не будут делать этого: они просто обратят внимание на адресную строку браузера^[18].

EV-сертификаты для подписи кода

Другим применением EV-сертификатов помимо защиты сайтов является подпись кода программ, приложений и драйверов. При помощи специализированного EV Code Signing сертификата разработчик подписывает свой код, что подтверждает его авторство и делает невозможным внесение не авторизованных изменений.

В современных версиях ОС Windows попытка запуска исполняемых файлов без подписи Code Signing приводит к отображению окна предупреждения защитного компонента SmartScreen о неподтверждённом издателе. Многие пользователи на этом этапе, опасаясь небезопасного источника, могут отказаться от установки программы, поэтому наличие подписи EV-сертификатом Code Signing увеличивает количество успешных инсталляций.

См. также

• HSTS
• Certificate Transparency^[en]

Примечания

1. Catalin Cimpanu. Chrome 77 released with no EV indicators, contact picker, permanent Guest Mode (англ.). ZDNet. Дата обращения: 18 ноября 2019. Архивировано 8 августа 2020 года.
2. https://cabforum.org/extended-validation/ Архивная копия от 12 сентября 2015 на Wayback Machine
3. CA / Browser Forum Участники Архивная копия от 2 ноября 2013 на Wayback Machine
4. Larry Seltzer. How Can We Improve Code Signing?  (неопр.) eWEEK. Дата обращения: 23 августа 2019.
5. William Hendric. What is an EV SSL certificate?  (неопр.) Comodo. Дата обращения: 8 января 2019. Архивировано 19 января 2019 года.
6. Hagai Bar-El. The Inevitable Collapse of the Certificate Model  (неопр.). Hagai Bar-El on Security. Дата обращения: 8 января 2019. Архивировано из оригинала 31 июля 2020 года.

7. Ben Wilson. Audit Criteria (англ.). CAB Forum. Дата обращения: 23 августа 2019. Архивировано 22 января 2021 года.

8. Jeremy Rowley. Ballot 144 – Validation rules for .onion names; Appendix F section 4  (неопр.). CA/Browser Forum. Дата обращения: 6 марта 2017. Архивировано 16 октября 2015 года.
9. Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2  (неопр.). CA/Browser Forum (16 октября 2014). — «Wildcard certificates are not allowed for EV Certificates.» Дата обращения: 15 декабря 2014. Архивировано 8 марта 2021 года.
10. Emily Schechter. Evolving Chrome's security indicators (англ.). Chromium Blog. Дата обращения: 8 января 2019. Архивировано 8 января 2019 года.
11. What browsers support Extended Validation (EV) and display an EV indicator?  (неопр.) Symantec. Дата обращения: 28 июля 2014. Архивировано из оригинала 31 декабря 2015 года.
12. Анатолий Ализар. DigiNotar был полностью взломан  (рус.). «Хакер» (1 ноября 2012). Дата обращения: 26 августа 2019. Архивировано 26 августа 2019 года.
13. Evers, Joris IE 7 gives secure Web sites the green light  (неопр.). CNet (2 февраля 2007). — «The colored address bar, a new weapon in the fight against phishing scams, is meant as a sign that a site can be trusted, giving Web surfers the green light to carry out transactions there.» Дата обращения: 27 февраля 2010. Архивировано 6 сентября 2008 года.
14. Richmond, Riva (2006-12-19). "Software to Spot 'Phishers' Irks Small Concerns". The Wall Street Journal. Архивировано из оригинала 15 апреля 2008. Дата обращения: 27 февраля 2010.
15. Jackson, Collin; Daniel R. Simon; Desney S. Tan; Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks" (PDF). Usable Security 2007. Архивировано (PDF) из оригинала 14 марта 2021. Дата обращения: 8 января 2019.
16. Luke Christou. SSL certificates aren’t enough – businesses need extended validation to prove legitimacy (англ.). Verdict (30 июля 2019). Дата обращения: 26 августа 2019. Архивировано 26 августа 2019 года.
17. Book "Engineering Security" / Peter Gutmann.
18. Goodin, Dan Nope, this isn’t the HTTPS-validated Stripe website you think it is (амер. англ.). Ars Technica (12 декабря 2017). Дата обращения: 19 декабря 2018. Архивировано 19 декабря 2018 года.

Ссылки

• Unghost, Alena159, Harry, Anticisco Freeman, Valery Ledovskoy, mozcolonslashslasha. Как мне узнать, является ли мое соединение с веб-сайтом безопасным? | Справка Firefox (рус.)