Сертификат Extended ValidationСертификат EV SSL (англ. Extended Validation — расширенная проверка) — вид сертификата, для получения которого необходимо подтвердить существование компании, на имя которой он оформляется в центре сертификации, а также факт владения этой компанией сертифицированными доменными именами. Браузеры информировали пользователей о том, что у веб-сайта есть EV SSL сертификат. Они либо отображали вместо доменного имени название компании, либо размещали название компании рядом. Тем не менее, позднее разработчики браузеров объявили о том, что у них появились планы отключить эту функцию[1]. EV-сертификаты используют те же самые способы защиты, что и сертификаты DV, IV и OV: более высокий уровень защиты обеспечивается за счет необходимости подтверждения существования компании в центре сертификации. Критерии выдачи сертификатов EV определены специальным документом: Guidelines for Extended Validation[2] (Руководством по расширенной проверке), в настоящее время (по состоянию на 1 августа 2019 г.) версия этого документа — 1.7.0. Руководство разработано CA/Browser Forum, организацией, членами которой являются центры сертификации и поставщики программного обеспечения для интернета, а также представители юридических и аудиторских профессий[3]. ИсторияВ 2005 году генеральный директор Comodo Group Мелих Абдулхайоглу созвал первое совещание организации, которая впоследствии станет CA/Browser Forum. Целью совещания было улучшить стандарты выдачи сертификатов SSL/ TLS[4]. 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Руководства для расширенной проверки, документ вступил в силу немедленно. Официальное одобрение привело к завершению работы по предоставлению инфраструктуры для идентификации доверенных веб-сайтов в Интернете. Затем, в апреле 2008 года, CA/Browser Forum объявил о появлении новой версии Руководства (1.1). Новая версия была основана на опыте центров сертификации и производителей программного обеспечения. Мотивация к получению сертификатаВажной мотивацией для использования цифровых сертификатов с SSL / TLS — увеличение доверия к онлайн-транзакциям. Для этого требуется, чтобы операторы веб-сайтов проходили проверку для получения сертификата. Однако коммерческое давление побудило некоторые центры сертификации ввести сертификаты более низкого уровня (domain-validation). Сертификаты domain validation существовали до extended validation и, как правило, их получение требует лишь некоторого подтверждения контроля домена. В частности, сертификаты domain validation не утверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя на самом сайте может быть написано, что он принадлежит юридическому лицу. Сначала пользовательские интерфейсы большинства браузеров не различали сертификаты domain validation и extended validation. Поскольку любое успешное соединение SSL / TLS приводило к появлению зелёного значка замка в большинстве браузеров, пользователи вряд ли знали, подтверждён ли сайт extended validation, или нет, однако по состоянию на октябрь 2020 года, все основные браузеры убрали значки EV. В результате мошенники (включая тех, которые занимаются фишингом) могли использовать TLS, чтобы повысить доверие к своим веб-сайтам. Пользователи браузеров могут проверить личность владельцев сертификатов, изучив сведения о выданном сертификате, которые указаны в нём (включая название организации и её адрес). Сертификаты EV проверяются на соответствие как базовым требованиям, так и на соответствие расширенным требованиям. Необходима ручная проверка доменных имен, запрошенных заявителем, проверка по официальным правительственным источникам, проверка по независимым источникам информации и телефонные звонки в компанию. Если сертификат был выдан, зарегистрированный центром сертификации серийный номер предприятия, а также физический адрес сохраняются в нём. Сертификаты EV предназначены для повышения уверенности пользователей в том, что оператор веб-сайта является действительно существующей организацией[5]. Тем не менее, по-прежнему существует опасение, что тот же недостаток ответственности, который привел к утрате доверия общественности к сертификатом DV, приведет к тому, что будет утрачена ценность сертификатов EV[6]. Критерии выдачиТолько центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать сертификаты EV[7], и все центры должны следовать требованиям к выпуску, которые направлены на:
За исключением[8] сертификатов EV для доменов .onion, невозможно получить wildcard-сертификат с Extended Validation — вместо этого все полные доменные имена должны быть включены в сертификат и проверены центром сертификации[9]. Пользовательский интерфейсБраузеры, поддерживающие EV, отображают информацию о том, что есть EV-сертификат: обычно пользователю показывается название и расположение организации при просмотре информации о сертификате. Браузеры Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera и Google Chrome поддерживают EV. Правила расширенной проверки требуют, чтобы участвующие центры сертификации назначали определённый идентификатор EV после того, как центр сертификации завершил независимый аудит и выполнил другие критерии. Браузеры запоминают этот идентификатор, сопоставляют идентификатор EV в сертификате с тем, который находится в браузере для рассматриваемого центра сертификации: если они совпадают, сертификат признаётся верным. Во многих браузерах о наличии сертификата EV сигнализирует:
Нажав на «замок», вы можете получить больше информации о сертификате, включая название центра сертификации, который выдал сертификат EV. ПоддержкаСледующие браузеры определяют EV сертификат:[11]:
Поддерживаемые браузеры мобильных устройств
Поддерживаемые веб-сервераРасширенная проверка поддерживает все веб-серверы, если они поддерживают HTTPS. Расширенная проверка сертификата идентификацииСертификаты EV — стандартные цифровые сертификаты X.509. Основным способом идентификации сертификата EV является обращение к полю Certificate Policies. Каждый центр, выпускающий сертификат, использует свой идентификатор (OID) для идентификации своих сертификатов EV, и каждый OID документирован в центре сертификации. Как и в случае корневых центров сертификации, браузеры могут не распознавать всех тех, кто выпускает сертификаты.
КритикаДоступность малому бизнесуСертификаты EV задумывались как способ подтвердить надежность сайта[13], но некоторые малые компании считали[14], что сертификаты EV могут дать преимущество только крупному бизнесу. Пресса заметила, что есть помехи в получении сертификата[14]. Версия 1.0 была пересмотрена, разрешив регистрацию EV-сертификатов в том числе и малым предприятиям, что позволило увеличить количество выданных сертификатов. Эффективность против фишинговых атакВ 2006 году ученые Стэнфордского университета и Microsoft Research провели исследования, касающиеся того, как отображались сертификаты EV[15] в Internet Explorer 7. Согласно результатам исследования, «люди, которые не разбирались в браузере, не обратили внимания на EV SSL, и не смогли получить результат, который был бы лучше, чем у контрольной группы». В то же время «участники, которых попросили прочитать файл Help, хотели признать правильными как настоящие сайты, так и фальшивые». Мнение эксперта об эффективности EV в борьбе с фишингомКогда говорят о EV, заявляют, что эти сертификаты помогают защититься от фишинга[16], но новозеландский эксперт Питер Гутман считает, что на самом деле эффект в борьбе с фишингом минимален. По его мнению, сертификаты EV — просто способ заставить заплатить больше денег[17]. Похожие названия компанийНазвания компаний могут совпадать. Атакующий может зарегистрировать свою компанию с тем же названием, создать SSL сертификат, и сделать сайт, похожий на оригинальный. Ученый создал компанию «Stripe, Inc.» в Kентукки и заметил, что надпись в браузере очень похожа на надпись компании Stripe, Inc, находящейся в Делавэре. Ученый подсчитал: зарегистрировать такой сертификат стоило ему всего 177 долларов (100 долларов за регистрацию компании и 77 долларов за сертификат). Он заметил, что с помощью нескольких кликов мыши можно посмотреть адрес регистрации сертификата, но большинство пользователей не будут делать этого: они просто обратят внимание на адресную строку браузера[18]. EV-сертификаты для подписи кодаДругим применением EV-сертификатов помимо защиты сайтов является подпись кода программ, приложений и драйверов. При помощи специализированного EV Code Signing сертификата разработчик подписывает свой код, что подтверждает его авторство и делает невозможным внесение не авторизованных изменений. В современных версиях ОС Windows попытка запуска исполняемых файлов без подписи Code Signing приводит к отображению окна предупреждения защитного компонента SmartScreen о неподтверждённом издателе. Многие пользователи на этом этапе, опасаясь небезопасного источника, могут отказаться от установки программы, поэтому наличие подписи EV-сертификатом Code Signing увеличивает количество успешных инсталляций. См. такжеПримечания
Ссылки
|