Az EV SSL - tanúsítvány ( Extended Validation - kiterjesztett ellenőrzés) egy olyan tanúsítványtípus, amelyhez igazolni kell a tanúsító hatóságnál annak a cégnek a létezését, amelynek a nevében kiállították , valamint azt a tényt, hogy ez a cég rendelkezik tanúsított domainnel. neveket.
A böngészők tájékoztatták a felhasználókat, hogy a webhely EV SSL tanúsítvánnyal rendelkezik. Vagy a cégnevet jelenítették meg a domain név helyett, vagy egymás mellé helyezték a cégnevet. A későbbi böngészőfejlesztők azonban bejelentették, hogy tervezik ennek a funkciónak a letiltását [1] .
Az EV-tanúsítványok ugyanazokat a biztonsági módszereket alkalmazzák, mint a DV-, IV- és OV-tanúsítványok: magasabb szintű biztonságot nyújt, ha meg kell erősíteni a vállalat létezését a tanúsító hatóságnál.
Az EV-tanúsítványok kiadásának kritériumait egy speciális dokumentum határozza meg: Guidelines for Extended Validation [2] (Guidelines for Extended Validation), a jelen dokumentum jelenlegi (2019. augusztus 1-től) verziója 1.7.0. Az irányelveket a CA/Browser Forum dolgozta ki, egy szervezet, amelynek tagjai között vannak tanúsító hatóságok és internetes szoftverszállítók, valamint a jogi és könyvvizsgálói szakma képviselői [3] .
2005-ben a Comodo Group vezérigazgatója , Melih Abdulhayoglu összehívta a CA/Browser Forum első találkozóját. A találkozó célja az SSL/TLS-tanúsítványok kiadására vonatkozó szabványok javítása volt [4] . 2007. június 12-én a CA/Browser Forum hivatalosan megerősítette a kiterjesztett felülvizsgálati iránymutatások első változatát, és a dokumentum azonnal hatályba lépett. A hivatalos jóváhagyás a megbízható internetes webhelyek azonosításához szükséges infrastruktúra biztosítására irányuló munka befejezéséhez vezetett. Aztán 2008 áprilisában a CA/Browser Forum bejelentette az útmutató új verzióját (1.1). Az új verzió a tanúsító hatóságok és a szoftvergyártók tapasztalatain alapult.
A digitális tanúsítványok SSL/TLS - szel való használatának fontos motivációja az online tranzakciókba vetett bizalom növelése. Ehhez a webhely üzemeltetőit ellenőrizni kell a tanúsítvány megszerzéséhez.
A kereskedelmi nyomás azonban arra késztetett néhány CA-t, hogy alacsonyabb szintű tanúsítványokat (domain-validation) vezessenek be. A tartományellenőrzési tanúsítványok már a kiterjesztett érvényesítés előtt is léteztek , és általában csak a tartományvezérlés igazolására van szükség. Konkrétan a domain érvényesítési tanúsítványok nem mondják ki, hogy az adott jogi személynek bármilyen kapcsolata van a domainnel, bár maga a webhely azt mondhatja, hogy a jogi személyhez tartozik.
Eleinte a legtöbb böngésző felhasználói felülete nem tett különbséget a tartományellenőrzés és a kiterjesztett érvényesítési tanúsítványok között . Mivel minden sikeres SSL/TLS kapcsolat azt eredményezte, hogy a legtöbb böngészőben zöld lakat ikon jelent meg, a felhasználók valószínűleg nem tudták, hogy egy webhelyen meghosszabbodott-e az érvényesítés vagy sem, azonban 2020 októberétől minden nagyobb böngésző eltávolította az EV ikonokat. Ennek eredményeként a csalók (beleértve az adathalászatban részt vevőket is) használhatják a TLS-t a webhelyeikbe vetett bizalom növelésére. A böngésző felhasználói a tanúsítvány birtokosainak személyazonosságát a kiadott tanúsítványra vonatkozó, abban megadott információk (beleértve a szervezet nevét és címét) megvizsgálásával ellenőrizhetik.
Az EV-tanúsítványokat az alapkövetelmények és a haladó követelmények alapján is érvényesítik. A kérelmező által kért domain nevek kézi ellenőrzése, hivatalos kormányzati forrásokkal, független információforrásokkal való ellenőrzés és a cég telefonálása szükséges. A tanúsítvány kiállítása esetén a tanúsító hatóság által bejegyzett vállalkozás sorszáma, valamint a székhelye kerül tárolásra.
Az EV-tanúsítványok célja, hogy növeljék a felhasználók bizalmát abban, hogy egy webhely-üzemeltető valóban létező entitás [5] .
Mindazonáltal továbbra is aggodalomra ad okot, hogy az elszámoltathatóság hiánya, amely a DV-tanúsítványba vetett közbizalom elvesztéséhez vezetett, az EV-tanúsítványok értékének elvesztését okozza [6] .
Csak harmadik fél minősített, auditált CA-k kínálhatnak EV-tanúsítványokat [7] , és minden CA-nak be kell tartania a kibocsátási követelményeket, amelyek célja:
A [8] EV-tanúsítványok kivételével .onion tartományokhoz kiterjesztett érvényesítéssel nem lehet helyettesítő karakteres tanúsítványt szerezni – ehelyett minden FQDN-nek szerepelnie kell a tanúsítványban, és hitelesítenie kell egy CA-nak [9] .
Az EV-t támogató böngészők információkat jelenítenek meg arról, hogy létezik EV-tanúsítvány: általában a felhasználónak megjelenik a szervezet neve és helye, amikor megtekinti a tanúsítványra vonatkozó információkat. A Microsoft Internet Explorer , a Mozilla Firefox , a Safari , az Opera és a Google Chrome böngészők támogatják az EV-t.
A kiterjesztett érvényesítési szabályok megkövetelik a részt vevő CA-któl, hogy egy adott EV-azonosítót rendeljenek hozzá, miután a hitelesítésszolgáltató elvégezte a független auditot, és teljesített más feltételeket. A böngészők megjegyzik ezt az azonosítót, egyeztetik a tanúsítványban szereplő EV azonosítót az adott tanúsító hatóság böngészőjében található azonosítóval: ha megegyeznek, akkor a tanúsítvány érvényesnek minősül. Sok böngészőben az EV-tanúsítvány jelenlétét a következők jelzik:
A "zárra" kattintva további információkat kaphat a tanúsítványról, beleértve az EV-tanúsítványt kiállító tanúsító hatóság nevét.
A következő böngészők határoznak meg EV-tanúsítványt: [11] :
A kiterjesztett érvényesítés minden webszervert támogat, amennyiben azok támogatják a HTTPS -t .
Az EV-tanúsítványok szabványos X.509 digitális tanúsítványok . Az EV-tanúsítvány azonosításának elsődleges módja a Tanúsítványi szabályzatok mező . Minden tanúsítványt kiadó hatóság az azonosítóját (OID) használja az EV-tanúsítványainak azonosítására, és minden OID-t a tanúsító hatóság dokumentál. A root hitelesítésszolgáltatókhoz hasonlóan előfordulhat, hogy a böngészők nem ismerik fel mindazokat, akik tanúsítványt bocsátanak ki.
| Kibocsátó | OID | Tanúsítási gyakorlati nyilatkozat |
|---|---|---|
| Actalis | 1.3.159.1.17.1 | Actalis CPS v2.3 , |
| AffirmTrust | 1.3.6.1.4.1.34697.2.1 | AffirmTrust CPS v1.1 , p. négy |
| 1.3.6.1.4.1.34697.2.2 | ||
| 1.3.6.1.4.1.34697.2.3 | ||
| 1.3.6.1.4.1.34697.2.4 | ||
| A-Trust | 1.2.40.0.17.1.22 | a.sign SSL EV CPS v1.3.4 |
| buypass | 2.16.578.1.26.1.3.3 | Buypass Class 3 EV CPS |
| Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2 | Camerfirma CPS v3.2.3 |
| 1.3.6.1.4.1.17326.10.8.12.1.2 | ||
| Comodo csoport | 1.3.6.1.4.1.6449.1.2.1.5.1 | Comodo EV CPS , p. 28 |
| DigiCert | 2.16.840.1.114412.2.1 | DigiCert EV CPS v. 1.0.3 , p. 56 |
| 2.16.840.1.114412.1.3.0.2 | ||
| DigiNotar (nem működő [12] ) | 2.16.528.1.1001.1.1.1.12.6.1.1.1 | N/A |
| D-TRUST | 1.3.6.1.4.1.4788.2.202.1 | D-TRUST CP |
| E Tugra | 2.16.792.3.0.4.1.1.4 | E-Tugra tanúsítási gyakorlati nyilatkozat (CPS) (hivatkozás nem érhető el) , p. 2 |
| Megbíz | 2.16.840.1.114028.10.1.2 | Bízza az EV CPS-t |
| ETSI | 0.4.0.2042.1.4 | ETSI TS 102 042 V2.4.1 , p. tizennyolc |
| 0.4.0.2042.1.5 | ||
| Szilárd szakember | 1.3.6.1.4.1.13177.10.1.3.10 | SSL Secure Web Server Certificates , p. 6 |
| GeoTrust | 1.3.6.1.4.1.14370.1.6 | GeoTrust EV CPS v. 2.6 , p. 28 |
| GlobalSign | 1.3.6.1.4.1.4146.1.1 | GlobalSign CP/CPS Repository |
| Hajrá apa | 2.16.840.1.114413.1.7.23.3 | Irány a Daddy CP/CPS Repository |
| Izenpe | 1.3.6.1.4.1.14777.6.1.1 | DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Archiválva : 2015. április 30. a Wayback Machine -nál . |
| Kamu Sertifikasyon Merkezi | 2.16.792.1.2.1.1.5.7.1.9 | TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE |
| Logius PKIoverheid | 2.16.528.1.1003.1.2.7 | CPS PA PKIoverheid Extended Validation Root v1.5 |
| Hálózati megoldások | 1.3.6.1.4.1.782.1.2.1.8.1 | Network Solutions EV CPS v. 1.1 , 2.4.1 |
| OpenTrust/DocuSign Franciaország | 1.3.6.1.4.1.22234.2.5.2.3.1 | SSL kiterjesztett érvényesítésű CA-tanúsítványházirend-verzió |
| QuoVadis | 1.3.6.1.4.1.8024.0.2.100.1.2 | QuoVadis Root CA2 CP/CPS , p. 34 |
| SECOM Trust Systems | 1.2.392.200091.100.721.1 | SECOM Trust Systems EV CPS Archiválva : 2011. július 24., a Wayback Machine (japán nyelven), p. 2 |
| SHECA | 1.2.156.112570.1.1.3 | SHECA EV CPS |
| Starfield Technologies | 2.16.840.1.114414.1.7.23.3 | Starfield EV CPS |
| StartCom tanúsító hatóság | 1.3.6.1.4.1.23223.2 | StartCom CPS , sz. négy |
| 1.3.6.1.4.1.23223.1.1.1 | ||
| swisscom | 2.16.756.1.83.21.0 | Swisscom Root EV CA 2 CPS (németül), p. 62 |
| SwissSign | 2.16.756.1.89.1.2.1.1 | SwissSign Gold CP/CPS |
| T-Systems | 1.3.6.1.4.1.7879.13.24.1 | CP/CPS TeleSec Server Pass v. 3.0 , p. tizennégy |
| olvadás | 2.16.840.1.113733.1.7.48.1 | Thawte EV CPS v. 3.3 , p. 95 |
| bizalomhullám | 2.16.840.1.114404.1.1.2.4.1 | Trustwave EV CPS [1] |
| Symantec ( VeriSign ) | 2.16.840.1.113733.1.7.23.6 | Symantec EV CPS |
| Verizon Business (korábban Cybertrust) | 1.3.6.1.4.1.6334.1.100.1 | Cybertrust CPS v.5.2 Archiválva : 2011. július 15., a Wayback Machine , p. húsz |
| Wells Fargo | 2.16.840.1.114171.500.9 | WellsSecure PKI CPS [2] |
| WoSign | 1.3.6.1.4.1.36305.2 | WoSign CPS V1.2.4 , p. 21 |
Az EV-tanúsítványokat a webhely megbízhatóságának bizonyítására szánták [13] , de néhány kisvállalat úgy érezte, [14] , hogy az EV-tanúsítványok csak a nagyvállalatok számára jelenthetnek előnyt. A sajtó észrevette, hogy a tanúsítvány megszerzésében akadályok vannak [14] . Az 1.0-s verziót felülvizsgálták, hogy lehetővé tegye az EV-tanúsítványok regisztrációját, beleértve a kisvállalkozásokat is, ami megnövelte a kiadott tanúsítványok számát.
2006-ban a Stanford Egyetem és a Microsoft Research tudósai kutatást végeztek az EV-tanúsítványok [15] megjelenítésére az Internet Explorer 7 -ben . A tanulmány eredményei szerint "Azok az emberek, akik nem voltak jártasak a böngészőben, nem figyeltek az EV SSL-re, és nem tudtak jobb eredményeket elérni, mint a kontrollcsoport." Ugyanakkor "azok a résztvevők, akiket felkértek a súgófájl elolvasására , mind a valódi, mind a hamis webhelyeket helyesnek akarták fogadni."
Amikor az EV-ről beszélünk, azt állítják, hogy ezek a tanúsítványok segítenek az adathalászat elleni védelemben [16] , de Peter Gutman új-zélandi szakértő úgy véli, hogy valójában az adathalászat elleni küzdelemben minimális a hatás. Véleménye szerint az EV-tanúsítványok csak egy módja annak, hogy az emberek több pénzt fizessenek [17] .
A cégnevek megegyezhetnek. A támadó regisztrálhatja saját cégét ugyanazzal a névvel, létrehozhat egy SSL-tanúsítványt, és az oldalt az eredetihez hasonlóvá teheti. A tudós létrehozta a "Stripe, Inc." céget. Kentuckyban , és észrevette, hogy a böngészőben lévő felirat nagyon hasonlít a delaware -i Stripe, Inc. cég feliratára . A tudós számításai szerint mindössze 177 dollárba került egy ilyen tanúsítvány bejegyzése (100 dollárba egy cég bejegyzése és 77 dollárba egy tanúsítvány). Észrevette, hogy néhány egérkattintással láthatja a tanúsítvány regisztrációs címét, de a legtöbb felhasználó ezt nem teszi meg: egyszerűen csak a böngésző címsorára figyel [18] .
Az EV-tanúsítványok másik felhasználási módja az oldalak védelme mellett a programok, alkalmazások és illesztőprogramok kódjának aláírása. Egy speciális EV Code Signing tanúsítvány segítségével a fejlesztő aláírja a kódját, amely megerősíti annak szerzőségét, és lehetetlenné teszi a jogosulatlan módosításokat.
A Windows operációs rendszer modern verzióiban a végrehajtható fájlok kódaláíró aláírás nélküli futtatására tett kísérlet egy SmartScreen biztonsági összetevő figyelmeztetését eredményezi egy meg nem erősített kiadóra vonatkozóan. Sok felhasználó ebben a szakaszban a nem biztonságos forrástól tartva megtagadhatja a program telepítését, így a Code Signing EV-tanúsítvány aláírása megnöveli a sikeres telepítések számát. [19]
Ben Wilson. Ellenőrzési kritériumok . CAB fórum. Letöltve: 2019. augusztus 23.