Certifikát o rozšířené platnosti

EV SSL certifikát  ( Extended Validation - rozšířené ověření) je typ certifikátu, u kterého je nutné potvrdit v certifikační autoritě existenci společnosti, na jejíž jméno je vydán, a dále skutečnost, že tato společnost vlastní certifikovanou doménu. jména.

Prohlížeče informovaly uživatele, že web má certifikát EV SSL. Buď zobrazili název společnosti místo názvu domény, nebo umístili název společnosti vedle sebe. Později však vývojáři prohlížečů oznámili, že mají v plánu tuto funkci zakázat [1] .

Certifikáty EV využívají stejné metody zabezpečení jako certifikáty DV, IV a OV: vyšší úroveň zabezpečení je zajištěna nutností potvrdit existenci společnosti v certifikační autoritě.

Kritéria pro vydávání EV certifikátů jsou definována speciálním dokumentem: Guidelines for Extended Validation [2] (Guidelines for Extended Validation), aktuálně (k 1. srpnu 2019) je verze tohoto dokumentu 1.7.0. Směrnice byly vyvinuty CA/Browser Forum, organizací, jejíž členy jsou certifikační autority a prodejci internetového softwaru, stejně jako členové právnických a auditorských profesí [3] .

Historie

V roce 2005 svolal generální ředitel Comodo Group Melih Abdulhayoglu první setkání toho, co se stalo CA/Browser Forum. Účelem setkání bylo zlepšit standardy pro vydávání SSL/TLS certifikátů [4] . Dne 12. června 2007 CA/Browser Forum formálně ratifikovalo první verzi pokynů k rozšířené kontrole a dokument vstoupil okamžitě v platnost. Formální schválení vedlo k dokončení práce na zajištění infrastruktury pro identifikaci důvěryhodných webových stránek na internetu. V dubnu 2008 pak fórum CA/Browser Forum oznámilo novou verzi průvodce (1.1). Nová verze vycházela ze zkušeností certifikačních autorit a výrobců softwaru.

Motivace k získání certifikátu

Důležitou motivací pro používání digitálních certifikátů s SSL/TLS  je zvýšení důvěry v online transakce. To vyžaduje ověření provozovatelů webových stránek pro získání certifikátu.

Komerční tlak však vedl některé CA k zavedení certifikátů nižší úrovně (ověření domény). Certifikáty ověření domény existovaly před rozšířeným ověřením a obvykle vyžadují pouze určitý doklad o kontrole domény. Zejména v certifikátech o ověření domény není uvedeno, že daná právnická osoba má s doménou jakýkoli vztah, i když samotný web může říci, že patří právnické osobě.

Uživatelská rozhraní většiny prohlížečů zpočátku nerozlišovala mezi ověřením domény a certifikátem rozšířeného ověření . Protože jakékoli úspěšné připojení SSL/TLS vedlo k tomu, že se ve většině prohlížečů objevila zelená ikona visacího zámku, uživatelé pravděpodobně nevěděli, zda má stránka rozšířenou validaci či nikoli, nicméně od října 2020 všechny hlavní prohlížeče ikony EV odstranily. V důsledku toho by podvodníci (včetně těch, kteří se podílejí na phishingu ) mohli pomocí TLS zvýšit důvěru ve své webové stránky. Uživatelé prohlížeče si mohou ověřit identitu držitelů certifikátu prozkoumáním informací o vydaném certifikátu, které jsou v něm uvedeny (včetně názvu organizace a její adresy).

Certifikace EV jsou ověřeny jak podle základních požadavků, tak i podle pokročilých požadavků. Vyžaduje se manuální ověření doménových jmen požadovaných žadatelem, ověření proti oficiálním vládním zdrojům, ověření proti nezávislým zdrojům informací a telefonáty do společnosti. Pokud byl certifikát vydán, je v něm uloženo sériové číslo podniku registrovaného certifikační autoritou a také fyzická adresa.

Certifikáty EV mají zvýšit důvěru uživatelů, že provozovatel webových stránek je skutečně existující entita [5] .

Stále však existuje obava, že stejný nedostatek odpovědnosti, který vedl ke ztrátě důvěry veřejnosti v certifikát DV, způsobí ztrátu hodnoty certifikátů EV [6] .

Kritéria pro vydání

Certifikáty EV mohou nabízet pouze certifikační autority kvalifikované jako třetí strany [7] a všechny certifikační autority musí dodržovat požadavky na vydávání, jejichž cílem je:

• Zjištění existence právnické osoby a vlastníka stránek
• Zjištění skutečnosti, že právnická osoba skutečně vlastní tuto doménu
• Potvrzení totožnosti vlastníka webu a oprávnění osob jednajících jménem vlastníka webu.

S výjimkou [8] EV certifikátů pro domény .onion není možné získat zástupný certifikát s Extended Validation – namísto toho musí být v certifikátu zahrnuty všechny FQDN a ověřeny CA [9] .

Uživatelské rozhraní

Prohlížeče, které podporují EV, zobrazují informace, že existuje certifikát EV: obvykle se uživateli při prohlížení informací o certifikátu zobrazí název a umístění organizace. Prohlížeče Microsoft Internet Explorer , Mozilla Firefox , Safari , Opera a Google Chrome podporují EV.

Pravidla rozšířené validace vyžadují, aby zúčastněné CA přidělily konkrétní EV ID poté, co CA dokončila nezávislý audit a splnila další kritéria. Prohlížeče si tento identifikátor pamatují, shodují se s identifikátorem EV v certifikátu s identifikátorem v prohlížeči pro danou certifikační autoritu: pokud se shodují, je certifikát uznán jako platný. V mnoha prohlížečích je přítomnost certifikátu EV signalizována:

• Název společnosti nebo organizace, která certifikát vlastní.
• Výrazná barva, obvykle zelená, zobrazená v adresním řádku, která označuje získání certifikátu (jak se HTTPS rozšiřuje, prohlížeče ustupují od zelené v adresním řádku, jako to udělal Google Chrome [10] ).
• Symbol visacího zámku také v adresním řádku (prohlížeče tento symbol nemusí zobrazovat [10] ).

Kliknutím na „zámek“ získáte další informace o certifikátu, včetně názvu certifikační autority, která certifikát EV vydala.

Podpora

Následující prohlížeče definují certifikát EV: [11] :

• Microsoft Edge 12+
• Google Chrome 1.0+
• Internet Explorer 7.0+
• Firefox 3+
• Safari 3.2+
• Opera 9.5+

Podporované prohlížeče pro mobilní zařízení

• Safari pro iOS
• Prohlížeč Windows Phone
• Firefox pro Android
• Chrome pro Android a iOS

Podporované webové servery

Rozšířené ověřování podporuje všechny webové servery, pokud podporují HTTPS .

Rozšířená validace průkazu totožnosti

Certifikáty EV jsou standardní digitální certifikáty X.509 . Primárním způsobem identifikace certifikátu EV je odkaz na pole Zásady certifikátu . Každá certifikační autorita používá svůj identifikátor (OID) k identifikaci svých EV certifikátů a každé OID je zdokumentováno certifikační autoritou. Stejně jako u kořenových certifikačních autorit nemusí prohlížeče rozpoznat všechny, kdo vydávají certifikáty.

Kritika

Dostupnost pro malé podniky

Certifikáty EV byly koncipovány jako způsob, jak prokázat důvěryhodnost webu [13] , ale některé malé společnosti se domnívaly, [14] že certifikáty EV mohou poskytnout výhodu pouze velkým podnikům. Tisk zaznamenal, že existují překážky při získávání certifikátu [14] . Verze 1.0 byla revidována tak, aby umožňovala registraci certifikátů EV, včetně malých podniků, což zvýšilo počet vydaných certifikátů.

Účinnost proti phishingovým útokům

V roce 2006 provedli vědci ze Stanfordské univerzity a Microsoft Research výzkum toho, jak se certifikáty EV [15] zobrazují v Internet Exploreru 7 . Podle výsledků studie "Lidé, kteří nebyli důvtipní v prohlížeči, nevěnovali pozornost EV SSL a nebyli schopni dosáhnout lepších výsledků než kontrolní skupina." Zároveň "účastníci, kteří byli požádáni, aby si přečetli soubor nápovědy , chtěli přijmout skutečné stránky i falešné stránky jako správné."

Odborný názor na účinnost EV v boji proti phishingu

Když mluví o EV, tvrdí, že tyto certifikáty pomáhají chránit před phishingem [16] , ale novozélandský expert Peter Gutman se domnívá, že ve skutečnosti je efekt v boji proti phishingu minimální. Podle jeho názoru jsou EV certifikáty jen způsob, jak přimět lidi, aby platili více peněz [17] .

Podobné názvy společností

Názvy společností mohou být stejné. Útočník si může zaregistrovat vlastní společnost se stejným názvem, vytvořit SSL certifikát a web tak vypadat jako původní. Vědec vytvořil společnost "Stripe, Inc." v Kentucky a všimli si, že nápis v prohlížeči je velmi podobný nápisu společnosti Stripe, Inc se sídlem v Delaware . Vědec spočítal, že registrace takového certifikátu ho stála pouhých 177 dolarů (100 dolarů za registraci společnosti a 77 dolarů za certifikát). Všiml si, že na pár kliknutí myší můžete vidět registrační adresu certifikátu, ale většina uživatelů to neudělá: prostě budou věnovat pozornost adresnímu řádku prohlížeče [18] .

EV certifikáty pro podepisování kódu

Dalším využitím EV-certifikátů, kromě ochrany stránek, je podepisování kódu programů, aplikací a ovladačů. Pomocí specializovaného certifikátu EV Code Signing podepisuje vývojář svůj kód, čímž potvrzuje jeho autorství a znemožňuje neoprávněné změny.

V moderních verzích operačního systému Windows vede pokus o spuštění spustitelných souborů bez podpisu Code Signing k zobrazení varování bezpečnostní součásti SmartScreen o nepotvrzeném vydavateli. Mnoho uživatelů v této fázi může ze strachu z nezabezpečeného zdroje odmítnout instalaci programu, takže podepsání EV certifikátu Code Signing zvyšuje počet úspěšných instalací. [19]

Viz také

• HSTS
• Certifikát Transparentnost

Poznámky

1. ↑ Catalin Cimpanu. Chrome 77 vydán bez indikátorů EV, výběr kontaktů, stálý  režim hosta . ZDNet. Staženo: 18. listopadu 2019.
2. ↑ https://cabforum.org/extended-validation/
3. ↑ Členové fóra CA / prohlížeče Archivováno 2. listopadu 2013 na Wayback Machine
4. ↑ Larry Seltzer. Jak můžeme zlepšit podepisování kódu? . eWEEK. Staženo: 23. srpna 2019. (neurčitý)
5. ↑ William Hendric. Co je certifikát EV SSL? . Comodo . (neurčitý)
6. ↑ Hagai Bar-El. Nevyhnutelný kolaps modelu certifikátu . Hagai Bar-El o bezpečnosti. (neurčitý)
7. ↑

   Ben Wilson. Kritéria auditu  . Fórum CAB. Staženo: 23. srpna 2019.

8. ↑ Jeremy Rowley. Hlasovací lístek 144 – Pravidla ověřování pro názvy .cibule; Příloha F oddíl 4 . Fórum CA/prohlížeče . Staženo: 6. března 2017. (neurčitý)
9. ↑ Pokyny pro vydávání a správu certifikátů rozšířeného ověření, verze 1.5.2 . Fórum CA/Browser (16. října 2014). - "Certifikáty zástupných karet nejsou povoleny pro certifikáty EV." Staženo: 15. prosince 2014. (neurčitý)
10. ↑ 12 Emily Schechter . Vyvíjející se indikátory zabezpečení prohlížeče Chrome . Blog Chromium. Staženo: 8. ledna 2019.  
11. ↑ Které prohlížeče podporují rozšířenou validaci (EV) a zobrazují indikátor EV? . Symantec . Staženo: 28. července 2014. (neurčitý)
12. ↑ Anatoly Alizar. DigiNotar byl kompletně hacknut . "Hacker" (1. listopadu 2012). Datum přístupu: 26. srpna 2019. (Ruština)
13. ↑ Evers, Joris IE 7 dává zabezpečeným webům zelenou . CNet (2. února 2007). - "Barevný adresní řádek, nová zbraň v boji proti phishingovým podvodům, je zamýšlen jako znamení, že stránce lze důvěřovat, což dává webovým surfařům zelenou k provádění transakcí." Staženo: 27. února 2010. (neurčitý)
14. ↑ 12 Richmond , Riva . Software k rozpoznání 'Phishers' Irks Irks Small Concerns , The Wall Street Journal  (19. prosince 2006). Archivováno z originálu 15. dubna 2008. Staženo 27. února 2010.
15. ↑ Jackson, Collin; Daniel R. Simon; Disney S. Tan; Adam Barth. „Vyhodnocení rozšířeného ověřování a phishingových útoků typu obraz v obraze“ (PDF) . Použitelné zabezpečení 2007 .
16. ↑ Luke Christou. SSL certifikáty nestačí – firmy potřebují rozšířenou validaci, aby prokázaly  legitimitu . Verdikt (30. července 2019). Datum přístupu: 26. srpna 2019.
17. ↑ Kniha "Inženýrská bezpečnost" / Peter Gutmann.
18. ↑ Dobrý den, Dane Ne, toto není web Stripe ověřený HTTPS, myslíte si, že  je  ? . Ars Technica (12. prosince 2017). Staženo: 19. prosince 2018.  (neurčitý)
19. ↑ EV Code Signing Certificates

Odkazy

• Unghost, Alena159, Harry, Anticisco Freeman, Valery Ledovskoy, mozcolonslashslasha. Jak zjistím, zda je mé připojení k webu bezpečné? | Nápověda Firefoxu  (ruština)