Certyfikat rozszerzonej walidacji - Extended Validation Certificate

Przykład Certyfikatu Extended Validation wydanego przez DigiCert

Rozszerzony Certificate Validation ( EV ) jest certyfikat zgodny z X.509 , który świadczy o osobowości prawnej właściciela i jest podpisany przez urząd certyfikacji klucza, który może wydawać certyfikaty EV. Certyfikaty EV mogą być używane w taki sam sposób, jak inne certyfikaty X.509, w tym do zabezpieczania komunikacji internetowej za pomocą protokołu HTTPS oraz oprogramowania i dokumentów podpisujących. W przeciwieństwie do domeny walidacji certyfikatów i organizacja-walidacji certyfikatów, certyfikaty EV może być wydany jedynie przez podzbiór urzędów certyfikacji (CA) i wymagają weryfikacji tożsamości prawnej podmiotu wnioskującego przed wydaniem certyfikatu.

Od lutego 2021 r. wszystkie główne przeglądarki internetowe (Google Chrome, Mozilla Firefox, Microsoft Edge i Apple Safari) mają menu pokazujące status EV certyfikatu i zweryfikowaną tożsamość prawną certyfikatu EV. Przeglądarki mobilne zazwyczaj wyświetlają certyfikaty EV w taki sam sposób, jak certyfikaty weryfikacji domeny (DV) i weryfikacji organizacji (OV). Z dziesięciu najpopularniejszych witryn internetowych żadna nie korzysta z certyfikatów EV, a trend odbiega od ich wykorzystywania.

W przypadku oprogramowania zweryfikowana tożsamość prawna jest wyświetlana użytkownikowi przez system operacyjny (np. Microsoft Windows) przed przystąpieniem do instalacji.

Certyfikaty Validation Rozszerzone przechowywane są w formacie określonym przez i zazwyczaj używają tego samego kodowania jak certyfikatów organizacji walidacji i certyfikatów domenie zatwierdzone , więc są one kompatybilne z większością serwerów i oprogramowania agenta użytkownika.

Kryteria wydawania certyfikatów EV określają Wytyczne dotyczące rozszerzonej walidacji opracowane przez CA/Browser Forum .

Aby wystawić certyfikat rozszerzonej walidacji, CA wymaga weryfikacji tożsamości podmiotu wnioskującego i jego statusu operacyjnego z kontrolą nad nazwą domeny i serwerem hostingowym.

Historia

Wprowadzenie przez CA/Browser Forum

W 2005 roku Melih Abdulhayoglu , CEO Grupy Comodo , zwołał pierwsze spotkanie organizacji, która przekształciła się w CA/Browser Forum , mając nadzieję na poprawę standardów wydawania certyfikatów SSL/TLS. 12 czerwca 2007 r. CA/Browser Forum oficjalnie zatwierdziło pierwszą wersję wytycznych SSL Extended Validation (EV), które weszły w życie natychmiast. Formalne zatwierdzenie pomyślnie zakończyło ponad dwuletnie wysiłki i zapewniło infrastrukturę dla zaufanej tożsamości witryny w Internecie. Następnie, w kwietniu 2008 r., forum ogłosiło wersję 1.1 wytycznych, opierając się na praktycznym doświadczeniu swoich członków urzędów certyfikacji i dostawców oprogramowania aplikacji stron ufających, zdobytych w ciągu miesięcy od zatwierdzenia pierwszej wersji do użytku.

Tworzenie specjalnych wskaźników UI w przeglądarkach

Większość głównych przeglądarek stworzyła specjalne wskaźniki interfejsu użytkownika dla stron ładowanych przez HTTPS zabezpieczonych certyfikatem EV wkrótce po utworzeniu standardu. Obejmuje to Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. Ponadto niektóre przeglądarki mobilne, w tym Safari na iOS, Windows Phone, Firefox na Androida, Chrome na Androida i iOS, dodały takie wskaźniki interfejsu użytkownika. Zazwyczaj przeglądarki z obsługą pojazdów elektrycznych wyświetlają potwierdzoną tożsamość — zwykle kombinację nazwy organizacji i jurysdykcji — zawartą w polu „temat” certyfikatu EV.

W większości wdrożeń ulepszony wyświetlacz obejmuje:

• Nazwa firmy lub podmiotu będącego właścicielem certyfikatu;
• Symbol kłódki, również na pasku adresu, który różni się kolorem w zależności od stanu bezpieczeństwa witryny.

Klikając na symbol kłódki, użytkownik może uzyskać więcej informacji o certyfikacie, w tym nazwę urzędu certyfikacji, który wydał certyfikat EV.

Usunięcie specjalnych wskaźników UI

W maju 2018 r. Google ogłosił plany przeprojektowania interfejsów użytkownika Google Chrome, aby usunąć nacisk na certyfikaty EV. Chrome 77, wydany w 2019 roku, usunął wskazanie certyfikatu EV z omniboksu, ale status certyfikatu EV można wyświetlić, klikając ikonę kłódki, a następnie sprawdzając nazwę podmiotu prawnego w sekcji „certyfikat”. Firefox 70 usunął rozróżnienie w omniboksie lub pasku adresu URL (certyfikaty EV i DV są wyświetlane podobnie, tylko z ikoną kłódki), ale szczegóły dotyczące statusu certyfikatu EV są dostępne w bardziej szczegółowym widoku, który otwiera się po kliknięciu ikony kłódki.

Apple Safari na iOS 12 i MacOS Mojave (wydany we wrześniu 2018) usunęło wizualne wyróżnienie statusu EV.

Kryteria wydawania

Tylko CA, które przejdą niezależną, kwalifikowaną ocenę audytu, mogą oferować EV, a wszystkie CA na całym świecie muszą przestrzegać tych samych szczegółowych wymagań wydawania, które mają na celu:

• Ustalenie tożsamości prawnej oraz operacyjnej i fizycznej obecności właściciela witryny;
• Ustal, że wnioskodawca jest właścicielem nazwy domeny lub ma wyłączną kontrolę nad nazwą domeny;
• Potwierdź tożsamość i uprawnienia osób działających w imieniu właściciela strony internetowej oraz że dokumenty dotyczące zobowiązań prawnych są podpisane przez upoważnionego urzędnika;
• Ogranicz czas ważności certyfikatu, aby zapewnić aktualność informacji o certyfikacie. Forum CA/B ogranicza również maksymalne ponowne wykorzystanie danych do walidacji domeny i danych organizacji do maksymalnie 397 dni (nie może przekraczać 398 dni) od marca 2020 r.

Z wyjątkiem certyfikatów rozszerzonej walidacji dla domen .onion uzyskanie certyfikatu rozszerzonej walidacji z kartą wieloznaczną jest niemożliwe – zamiast tego wszystkie w pełni kwalifikowane nazwy domen muszą być zawarte w certyfikacie i sprawdzone przez urząd certyfikacji.

Identyfikacja certyfikatu rozszerzonej walidacji

Certyfikaty EV to standardowe certyfikaty cyfrowe X.509. Podstawowym sposobem identyfikacji certyfikatu EV jest odwołanie się do pola rozszerzenia Zasady certyfikatów. Każdy wystawca używa w tym polu innego identyfikatora obiektu (OID) do identyfikacji swoich certyfikatów EV, a każdy OID jest udokumentowany w Kodeksie Postępowania Certyfikacyjnego wystawcy. Podobnie jak w przypadku głównych urzędów certyfikacji, przeglądarki mogą nie rozpoznawać wszystkich wystawców.

Certyfikaty EV HTTPS zawierają podmiot z identyfikatorami OID X.509 dla jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.31.60.2.1.3), jurisdictionOfIncorporationStateOrProvinceName(OID: 1.3.6.1.4.1.311.60.2.1.2) (opcjonalnie), jurisdictionLocalityName(OID: 1.3.6.1.4.1.311.60.2.1.1) (opcjonalnie), businessCategory(OID: 2.5.4.15) i serialNumber(OID: 2.5.4.5), ze serialNumberwskazaniem ID u odpowiedniego sekretarza stanu (USA) lub spraw rządowych rejestratora (poza USA), a także identyfikator polityki specyficzny dla urzędu certyfikacji, aby oprogramowanie obsługujące pojazdy elektryczne, takie jak przeglądarka internetowa, mogło je rozpoznać. Ten identyfikator definiuje certyfikat EV i jest różnicą z certyfikatem OV.

Protokół statusu certyfikatu online

Kryteria wystawiania certyfikatów Extended Validation nie wymagają od wystawiających urzędów certyfikacji natychmiastowej obsługi protokołu Online Certificate Status Protocol do sprawdzania unieważnień. Jednak wymóg terminowej odpowiedzi na sprawdzanie odwołania przez przeglądarkę skłonił większość urzędów certyfikacji, które wcześniej tego nie robiły, do wdrożenia obsługi protokołu OCSP. Sekcja 26-A kryteriów wystawiania wymaga, aby urzędy certyfikacji obsługiwały sprawdzanie OCSP dla wszystkich certyfikatów wydanych po 31 grudnia 2010 r.

Krytyka

Zderzające się nazwy jednostek

Nazwy podmiotów prawnych nie są unikalne, dlatego atakujący, który chce podszyć się pod podmiot, może założyć inną firmę o tej samej nazwie (ale np. w innym stanie lub kraju) i uzyskać dla niej ważny certyfikat, a następnie użyć certyfikat do podszywania się pod oryginalną witrynę. W jednej z demonstracji naukowiec założył firmę o nazwie „Stripe, Inc”. w Kentucky i pokazał, że przeglądarki wyświetlają go w sposób podobny do tego, w jaki wyświetlają certyfikat procesora płatności „ Stripe, Inc. ” wbudowanego w Delaware . Badacz twierdził, że konfiguracja demonstracji zajęła mu około godziny, 100 USD kosztów prawnych i 77 USD za certyfikat. Zauważył również, że „przy wystarczającej liczbie kliknięć myszą [użytkownik] może być w stanie [wyświetlić] miasto i stan [gdzie jednostka jest zarejestrowana], ale żadne z nich nie jest pomocne dla typowego użytkownika i prawdopodobnie po prostu ślepo zaufa wskaźnik [certyfikat EV]".

Dostępność dla małych firm

Ponieważ certyfikaty EV są promowane i zgłaszane jako znak godnej zaufania strony internetowej, niektórzy właściciele małych firm wyrazili obawy, że certyfikaty EV dają nieuzasadnioną przewagę dużym firmom. Opublikowane projekty Wytycznych EV wykluczyły podmioty nieposiadające osobowości prawnej, a wczesne doniesienia medialne koncentrowały się na tej kwestii. Wersja 1.0 Wytycznych EV została zmieniona tak, aby obejmowała stowarzyszenia nieposiadające osobowości prawnej, o ile były zarejestrowane w uznanej agencji, co znacznie zwiększyło liczbę organizacji, które zakwalifikowały się do certyfikatu rozszerzonej walidacji. Lista certyfikatów EV z porównaniem cen i funkcji jest dostępna dla małych firm, aby wybrać opłacalny certyfikat.

Skuteczność przeciwko atakom phishingowym dzięki interfejsowi bezpieczeństwa IE7

W 2006 roku naukowcy ze Stanford University i Microsoft Research przeprowadzili badanie użyteczności wyświetlacza EV w przeglądarce Internet Explorer 7 . W ich artykule stwierdzono, że „uczestnicy, którzy nie przeszli żadnego szkolenia w zakresie funkcji zabezpieczeń przeglądarki, nie zauważyli wskaźnika rozszerzonej walidacji i nie przewyższali grupy kontrolnej”, podczas gdy „uczestnicy, których poproszono o przeczytanie pliku pomocy Internet Explorera, częściej klasyfikowali oba rzeczywiste i fałszywe witryny jako legalne”.

Certyfikaty z walidacją domeny zostały stworzone przez CA w pierwszej kolejności

Podczas gdy zwolennicy certyfikatów EV twierdzą, że pomagają one w zwalczaniu ataków phishingowych, ekspert ds. bezpieczeństwa Peter Gutmann twierdzi, że nowa klasa certyfikatów przywraca zyski CA, które uległy erozji z powodu wyścigu na dno, jaki miał miejsce wśród wystawców w branży. Według Petera Gutmanna, certyfikaty EV nie są skuteczne w walce z phishingiem, ponieważ certyfikaty EV „nie rozwiązują żadnego problemu, który wykorzystują phisherzy”. Sugeruje, że duże komercyjne urzędy certyfikacji wprowadziły certyfikaty EV, aby przywrócić stare wysokie ceny.

Zobacz też

• Kwalifikowany certyfikat uwierzytelniania witryny internetowej
• Ścisłe zabezpieczenia transportu HTTP

Bibliografia

Zewnętrzne linki

• Witryna internetowa CA/Browser Forum
• Zielona kłódka Firefox do certyfikatów EV