EV SSL сертификат — сертификат, используемый для того, чтобы настроить поддержку HTTPS на сайте. Чтобы получить EV сертификат, необходимо подтверждение существования компании, на имя которой оформляется сертификат, в центре сертификации.
Браузеры показывают информацию о существовании компании либо перед доменным именем сайта, либо заменяя его.
EV сертификаты используют те же самые способы защиты, что и сертификаты DV и OV: более высокий уровень защиты обеспечивается за счет необходимости подтверждения существования компании в центре сертификации.
Критерии выдачи сертификатов EV определены специальным документом: Guidelines for Extended Validation[1] (Руководством по расширенной проверке), в настоящее время (по состоянию на 13 декабря 2017 г.) версия этого документа —1.6.6. Руководство разработано CA/Browser Forum, организацией, членами которой являются ведущие центры сертификации и поставщики программного обеспечения для интернета, а также представители юридических и аудиторских профессий.[2]
В 2005 году Мелих Абдулхайоглу, генеральный директор Comodo Group, созвал первое совещание организации, которая впоследствии станет CA/Browser Forum. Целью совещания было улучшить стандарты выдачи сертификатов SSL/ TLS.[3] 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Руководства для расширенной проверки, документ вступил в силу немедленно. Официальное одобрение привело к завершению работы по предоставлению инфраструктуры для идентификации доверенных веб-сайтов в Интернете. Затем, в апреле 2008 года, CA/Browser Forum объявил о появлении новой версии Руководства (1.1). Новая версия была основана на опыте центров сертификации и производителей программного обеспечения.
Важной мотивацией для использования цифровых сертификатов с SSL / TLS — увеличение доверия к онлайн-транзакциям. Для этого требуется, чтобы операторы веб-сайтов проходили проверку для получения сертификата.
Однако коммерческое давление побудило некоторые центры сертификации ввести сертификаты более низкого уровня (domain-validation). Сертификаты domain validation существовали до extended validation и, как правило, их получение требует лишь некоторого подтверждения контроля домена. В частности, сертификаты domain validation не утверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя на самом сайте может быть написано, что он принадлежит юридическому лицу.
Сначала пользовательские интерфейсы большинства браузеров не различали сертификаты domain validation и extended validation. Поскольку любое успешное соединение SSL / TLS приводило к появлению зелёного значка замка в большинстве браузеров, пользователи вряд ли знали, подтверждён ли сайт extended validation, или нет (по состоянию на январь 2019 года Chrome убрал зеленые значки в браузере). В результате мошенники (включая тех, которые занимаются фишингом) могли использовать TLS, чтобы повысить доверие к своим веб-сайтам. Пользователи более поздних браузеров всегда могут проверить личность владельцев сертификатов, изучив сведения о выданном сертификате, которые указаны в нём (включая название организации и её адрес).
Сертификаты EV проверяются на соответствие как базовым требованиям, так и на соответствие расширенным требованиям. Необходима ручная проверка доменных имен, запрошенных заявителем, проверка по официальным правительственным источникам, проверка по независимым источникам информации и телефонные звонки в компанию. Если сертификат был выдан, зарегистрированный центром сертификации серийный номер предприятия, а также физический адрес сохраняются в нём.
Сертификаты EV предназначены для повышения уверенности пользователей в том, что оператор веб-сайта является действительно существующей организацией.[4]
Тем не менее, по-прежнему существует опасение, что тот же недостаток ответственности, который привел к утрате доверия общественности к сертификатом DV, приведет к тому, что будет утрачена ценность сертификатов EV.[5]
Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать сертификаты EV,[6] и все центры должны следовать требованиям к выпуску, которые направлены на:
За исключением[7] сертификатов EV для доменов .onion, невозможно получить wildcard-сертификат с Extended Validation — вместо этого все полные доменные имена должны быть включены в сертификат и проверены центром сертификации.[8]
Браузеры с поддержкой EV отображают наличие сертификата — обычно сочетание названия организации и расположения организации. Браузеры Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera и Google Chrome поддерживают EV.
Правила расширенной проверки требуют, чтобы участвующие центры сертификации назначали определённый идентификатор EV после того, как центр сертификации завершил независимый аудит и выполнил другие критерии. Браузеры запоминают этот идентификатор, сопоставляют идентификатор EV в сертификате с тем, который находится в браузере для рассматриваемого центра сертификации: если они совпадают, сертификат признаётся верным. Во многих браузерах о наличии сертификата EV сигнализирует:
Нажав на «замок», вы можете получить больше информации о сертификате, включая название центра сертификации, который выдал сертификат EV.
Большинство сертификатов расширенной проверки совместимы со следующими браузерами:[10]
Расширенная проверка поддерживает все веб-серверы, если они поддерживают HTTPS.
Сертификаты EV — стандартные цифровые сертификаты X.509. Основным способом идентификации сертификата EV является обращение к полю Certificate Policies. Каждый центр, выпускающий сертификат, использует свой идентификатор (OID) для идентификации своих сертификатов EV, и каждый OID документирован в центре сертификации. Как и в случае корневых центров сертификации, браузеры могут не распознавать всех тех, кто выпускает сертификаты.
Issuer | OID | Certification Practice Statement |
---|---|---|
Actalis | 1.3.159.1.17.1 |
Actalis CPS v2.3, |
AffirmTrust | 1.3.6.1.4.1.34697.2.1 |
AffirmTrust CPS v1.1, p. 4 |
1.3.6.1.4.1.34697.2.2 | ||
1.3.6.1.4.1.34697.2.3 | ||
1.3.6.1.4.1.34697.2.4 | ||
A-Trust | 1.2.40.0.17.1.22 |
a.sign SSL EV CPS v1.3.4 |
Buypass | 2.16.578.1.26.1.3.3 |
Buypass Class 3 EV CPS |
Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2 |
Camerfirma CPS v3.2.3 |
1.3.6.1.4.1.17326.10.8.12.1.2 | ||
Comodo Group | 1.3.6.1.4.1.6449.1.2.1.5.1 |
Comodo EV CPS, p. 28 |
DigiCert | 2.16.840.1.114412.2.1 |
DigiCert EV CPS v. 1.0.3, p. 56 |
2.16.840.1.114412.1.3.0.2 | ||
DigiNotar (defunct)[11] | 2.16.528.1.1001.1.1.1.12.6.1.1.1 |
N/A |
D-TRUST | 1.3.6.1.4.1.4788.2.202.1 | D-TRUST CP |
E-Tugra | 2.16.792.3.0.4.1.1.4 |
E-Tugra Certification Practice Statement (CPS), p. 2 |
Entrust | 2.16.840.1.114028.10.1.2 |
Entrust EV CPS |
ETSI | 0.4.0.2042.1.4 |
ETSI TS 102 042 V2.4.1, p. 18 |
0.4.0.2042.1.5 | ||
Firmaprofesional | 1.3.6.1.4.1.13177.10.1.3.10 |
SSL Secure Web Server Certificates, p. 6 |
GeoTrust | 1.3.6.1.4.1.14370.1.6 |
GeoTrust EV CPS v. 2.6, p. 28 |
GlobalSign | 1.3.6.1.4.1.4146.1.1 |
GlobalSign CP/CPS Repository |
Go Daddy | 2.16.840.1.114413.1.7.23.3 |
Go Daddy CP/CPS Repository |
Izenpe | 1.3.6.1.4.1.14777.6.1.1 |
DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV, |
Kamu Sertifikasyon Merkezi | 2.16.792.1.2.1.1.5.7.1.9 |
TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE |
Logius PKIoverheid | 2.16.528.1.1003.1.2.7 |
CPS PA PKIoverheid Extended Validation Root v1.5 |
Network Solutions | 1.3.6.1.4.1.782.1.2.1.8.1 |
Network Solutions EV CPS v. 1.1, 2.4.1 |
OpenTrust/DocuSign France | 1.3.6.1.4.1.22234.2.5.2.3.1 |
SSL Extended Validation CA Certificate Policy version |
QuoVadis | 1.3.6.1.4.1.8024.0.2.100.1.2 |
QuoVadis Root CA2 CP/CPS, p. 34 |
SECOM Trust Systems | 1.2.392.200091.100.721.1 |
SECOM Trust Systems EV CPS (in Japanese), p. 2 |
SHECA | 1.2.156.112570.1.1.3 |
SHECA EV CPS |
Starfield Technologies | 2.16.840.1.114414.1.7.23.3 |
Starfield EV CPS |
StartCom Certification Authority | 1.3.6.1.4.1.23223.2 |
StartCom CPS, no. 4 |
1.3.6.1.4.1.23223.1.1.1 | ||
Swisscom | 2.16.756.1.83.21.0 |
Swisscom Root EV CA 2 CPS (in German), p. 62 |
SwissSign | 2.16.756.1.89.1.2.1.1 |
SwissSign Gold CP/CPS |
T-Systems | 1.3.6.1.4.1.7879.13.24.1 |
CP/CPS TeleSec ServerPass v. 3.0, p. 14 |
Thawte | 2.16.840.1.113733.1.7.48.1 | Thawte EV CPS v. 3.3, p. 95 |
Trustwave | 2.16.840.1.114404.1.1.2.4.1 |
Trustwave EV CPS |
Symantec (VeriSign) | 2.16.840.1.113733.1.7.23.6 |
Symantec EV CPS |
Verizon Business (formerly Cybertrust) | 1.3.6.1.4.1.6334.1.100.1 |
Cybertrust CPS v.5.2, p. 20 |
Wells Fargo | 2.16.840.1.114171.500.9 |
WellsSecure PKI CPS |
WoSign | 1.3.6.1.4.1.36305.2 |
WoSign CPS V1.2.4, p. 21 |
EV сертификаты задумывались как способ подтвердить надежность сайта[12] , но некоторые малые компании считали[13], что EV сертификаты могут дать преимущество только крупному бизнесу. Опубликованные версии Руководства о выдаче EV сертификатов[14] мешали получить сертификат, пресса также заметила эту проблему[13]. Версия 1.0 была пересмотрена, разрешив регистрацию EV сертификатов в том числе и малым предприятиям, что позволило увеличить количество выданных сертификатов.
В 2006 году ученые Стэнфордского университета и Microsoft Research провели исследования, связанные с показом сертификатов EV[15] в Internet Explorer 7. Согласно результатам исследования, «люди, которые не разбирались в браузере, не обратили внимания на EV SSL, и не смогли получить результат, который был бы лучше, чем у контрольной группы». В то же время, «участники, которых попросили прочитать файл Help, хотели признать правильными как настоящие сайты, так и фальшивые».
Центры сертификации, предлагающие EV, заявляют, что эти сертификаты помогают защититься от фишинга,[16] но новозеландский эксперт Питер Гутман считает, что на самом деле эффект в борьбе с фишингом минимален. По его мнению, EV сертификаты — просто способ заставить заплатить больше денег.
Введение так называемых Extended Validation сертификатов, которые позволят центрам сертификации заставить компании платить больше, это просто хитрый ход. Возможно, кто-то будет впечатлён этим, но на самом деле это не решит проблему фишинга, так как этот сертификат не исправляет проблемы, которыми пользуются фишеры. Ведь сертификаты SSL как раз и были введены, чтобы бороться с фишингом, а идея ввести сертификат Extended Validation — это просто способ сделать так, чтобы компании заплатили второй раз за уже оказанные им ранее услуги. Несколько лет назад сертификаты SSL стоили по нескольку сотен долларов, но теперь они стоят всего лишь 9,95 долларов (или даже предоставляются бесплатно). Поэтому центры сертификации придумали способ, как заставить компании заплатить больше: нужно придумать новый стандарт и вернуть рынок к тем ценам, по которым продавались SSL сертификаты «в старые добрые времена».
Чтобы убедиться в этом, можно проверить документ компании Verisign, который рассказывает о правилах выдачи сертификатов. Требования для получения сертификата EV в 2008 году почти такие же, как требования к получению сертификатов класса 3 в 1996 году. Поэтому EV сертификаты — просто способ вернуться к ценам прошлого и ввести то, что уже однажды провалилось в 1996 году. Причём сделать так, чтобы компании платили по ценам 1996 года. Были даже предложения ввести особую систему для SSL сертификатов: пока бесконечная гонка по нисходящей уменьшает стоимость некоторых классов сертификатов, они рассматриваются программным обеспечением как всё менее и менее эффективные.
Оригинальный текст (англ.)The introduction … of so-called high-assurance or extended validation (EV) certificates that allow CAs to charge more for them than standard ones, is simply a case of rounding up twice the usual number of suspects—presumably somebody’s going to be impressed by it, but the effect on phishing is minimal since it is not fixing any problem that the phishers are exploiting. Indeed, cynics would say that this was exactly the problem that certificates and CAs were supposed to solve in the first place, and that «high-assurance» certificates are just a way of charging a second time for an existing service. A few years ago certificates still cost several hundred dollars, but now that the shifting baseline of certificate prices and quality has moved to the point where they can be obtained for $9.95 (or even for nothing at all) the big commercial CAs have had to reinvent themselves by defining a new standard and convincing the market to go back to the prices paid in the good old days.This deja-vu-all-over-again approach can be seen by examining Verisign’s certificate practice statement (CPS), the document that governs its certificate issuance. The security requirements in the EV-certificate 2008 CPS are (except for minor differences in the legalese used to express them) practically identical to the requirements for Class 3 certificates listed in Verisign’s version 1.0 CPS from 1996. EV certificates simply roll back the clock to the approach that had already failed the first time it was tried in 1996, resetting the shifting baseline and charging 1996 prices as a side-effect. There have even been proposals for a kind of sliding-window approach to certificate value in which, as the inevitable race to the bottom cheapens the effective value of established classes of certificates, they’re regarded as less and less effective by the software that uses them…[17]
Названия компаний могут совпадать. Атакующий может зарегистрировать свою компанию с тем же названием, создать SSL сертификат, и сделать сайт, похожий на оригинальный. Ученый создал компанию «Stripe, Inc.» в Kентукки и заметил, что надпись в браузере очень похожа на надпись компании Stripe, Inc, находящейся в Делавэре. Ученый подсчитал: зарегистрировать такой сертификат стоило ему всего 177 долларов (100 долларов за регистрацию компании и 77 долларов за сертификат). Он заметил, что с помощью нескольких кликов мыши можно посмотреть адрес регистрации сертификата, но большинство пользователей не будут смотреть на это: они просто обратят внимание на адресную строку браузера.[18]
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .