Русская Википедия:Сертификат Extended Validation

Сертификат EV SSL (англ. Extended Validation — расширенная проверка) — вид сертификата, для получения которого необходимо подтвердить существование компании, на имя которой он оформляется в центре сертификации, а также факт владения этой компанией сертифицированными доменными именами.

Браузеры информировали пользователей о том, что у веб-сайта есть EV SSL сертификат. Они либо отображали вместо доменного имени название компании, либо размещали название компании рядом. Тем не менее, позднее разработчики браузеров объявили о том, что у них появились планы отключить эту функцию^[1].

EV-сертификаты используют те же самые способы защиты, что и сертификаты DV, IV и OV: более высокий уровень защиты обеспечивается за счет необходимости подтверждения существования компании в центре сертификации.

Критерии выдачи сертификатов EV определены специальным документом: Guidelines for Extended Validation^[2] (Руководством по расширенной проверке), в настоящее время (по состоянию на 1 августа 2019 г.) версия этого документа — 1.7.0. Руководство разработано CA/Browser Forum, организацией, членами которой являются центры сертификации и поставщики программного обеспечения для интернета, а также представители юридических и аудиторских профессий^[3].

История

В 2005 году генеральный директор Comodo Group Мелих Абдулхайоглу созвал первое совещание организации, которая впоследствии станет CA/Browser Forum. Целью совещания было улучшить стандарты выдачи сертификатов SSL/ TLS^[4]. 12 июня 2007 года CA/Browser Forum официально ратифицировал первую версию Руководства для расширенной проверки, документ вступил в силу немедленно. Официальное одобрение привело к завершению работы по предоставлению инфраструктуры для идентификации доверенных веб-сайтов в Интернете. Затем, в апреле 2008 года, CA/Browser Forum объявил о появлении новой версии Руководства (1.1). Новая версия была основана на опыте центров сертификации и производителей программного обеспечения.

Мотивация к получению сертификата

Важной мотивацией для использования цифровых сертификатов с SSL / TLS — увеличение доверия к онлайн-транзакциям. Для этого требуется, чтобы операторы веб-сайтов проходили проверку для получения сертификата.

Однако коммерческое давление побудило некоторые центры сертификации ввести сертификаты более низкого уровня (domain-validation). Сертификаты domain validation существовали до extended validation и, как правило, их получение требует лишь некоторого подтверждения контроля домена. В частности, сертификаты domain validation не утверждают, что данное юридическое лицо имеет какие-либо отношения с доменом, хотя на самом сайте может быть написано, что он принадлежит юридическому лицу.

Сначала пользовательские интерфейсы большинства браузеров не различали сертификаты domain validation и extended validation. Поскольку любое успешное соединение SSL / TLS приводило к появлению зелёного значка замка в большинстве браузеров, пользователи вряд ли знали, подтверждён ли сайт extended validation, или нет, однако по состоянию на октябрь 2020 года, все основные браузеры убрали значки EV. В результате мошенники (включая тех, которые занимаются фишингом) могли использовать TLS, чтобы повысить доверие к своим веб-сайтам. Пользователи браузеров могут проверить личность владельцев сертификатов, изучив сведения о выданном сертификате, которые указаны в нём (включая название организации и её адрес).

Сертификаты EV проверяются на соответствие как базовым требованиям, так и на соответствие расширенным требованиям. Необходима ручная проверка доменных имен, запрошенных заявителем, проверка по официальным правительственным источникам, проверка по независимым источникам информации и телефонные звонки в компанию. Если сертификат был выдан, зарегистрированный центром сертификации серийный номер предприятия, а также физический адрес сохраняются в нём.

Сертификаты EV предназначены для повышения уверенности пользователей в том, что оператор веб-сайта является действительно существующей организацией^[5].

Тем не менее, по-прежнему существует опасение, что тот же недостаток ответственности, который привел к утрате доверия общественности к сертификатом DV, приведет к тому, что будет утрачена ценность сертификатов EV^[6].

Критерии выдачи

Только центры сертификации, прошедшие независимую квалифицированную аудиторскую проверку, могут предлагать сертификаты EV^[7], и все центры должны следовать требованиям к выпуску, которые направлены на:

• Установление существования юридического лица и владельца сайта
• Установление того факта, что юридическое лицо действительно владеет этим доменом
• Подтверждение личности владельца сайта и полномочий лиц, действующих от имени владельца сайта.

За исключением^[8] сертификатов EV для доменов .onion, невозможно получить wildcard-сертификат с Extended Validation — вместо этого все полные доменные имена должны быть включены в сертификат и проверены центром сертификации^[9].

Пользовательский интерфейс

Браузеры, поддерживающие EV, отображают информацию о том, что есть EV-сертификат: обычно пользователю показывается название и расположение организации при просмотре информации о сертификате. Браузеры Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera и Google Chrome поддерживают EV.

Правила расширенной проверки требуют, чтобы участвующие центры сертификации назначали определённый идентификатор EV после того, как центр сертификации завершил независимый аудит и выполнил другие критерии. Браузеры запоминают этот идентификатор, сопоставляют идентификатор EV в сертификате с тем, который находится в браузере для рассматриваемого центра сертификации: если они совпадают, сертификат признаётся верным. Во многих браузерах о наличии сертификата EV сигнализирует:

• Название компании или организации, которой принадлежит сертификат.
• Отличительный цвет, обычно зелёный, отображаемый в адресной строке, который показывает, что сертификат был получен (по мере увеличения распространения HTTPS, браузеры отказываются от зелёного цвета в адресной строке, например, так сделал Google Chrome^[10]).
• Символ «замок», также в адресной строке (возможно, браузеры будут отказываться от отображения этого символа^[10]).

Нажав на «замок», вы можете получить больше информации о сертификате, включая название центра сертификации, который выдал сертификат EV.

Поддержка

Следующие браузеры определяют EV сертификат:^[11]:

• Microsoft Edge 12+
• Google Chrome 1.0+
• Internet Explorer 7.0+
• Firefox 3+
• Safari 3.2+
• Opera 9.5+

Поддерживаемые браузеры мобильных устройств

• Safari для iOS
• браузер Windows Phone
• Firefox для Android
• Chrome для Android и iOS

Поддерживаемые веб-сервера

Расширенная проверка поддерживает все веб-серверы, если они поддерживают HTTPS.

Расширенная проверка сертификата идентификации

Сертификаты EV — стандартные цифровые сертификаты X.509. Основным способом идентификации сертификата EV является обращение к полю Certificate Policies. Каждый центр, выпускающий сертификат, использует свой идентификатор (OID) для идентификации своих сертификатов EV, и каждый OID документирован в центре сертификации. Как и в случае корневых центров сертификации, браузеры могут не распознавать всех тех, кто выпускает сертификаты.

Issuer	OID	Certification Practice Statement
Actalis	Шаблон:Code	Actalis CPS v2.3,
AffirmTrust	Шаблон:Code	AffirmTrust CPS v1.1, p. 4
	Шаблон:Code
	Шаблон:Code
	Шаблон:Code
A-Trust	Шаблон:Code	a.sign SSL EV CPS v1.3.4
Buypass	Шаблон:Code	Buypass Class 3 EV CPS
Camerfirma	Шаблон:Code	Camerfirma CPS v3.2.3
	Шаблон:Code
Comodo Group	Шаблон:Code	Comodo EV CPS, p. 28
DigiCert	Шаблон:Code	DigiCert EV CPS v. 1.0.3, p. 56
	Шаблон:Code
DigiNotar (нерабочий[12])	Шаблон:Code	N/A
D-TRUST	1.3.6.1.4.1.4788.2.202.1	D-TRUST CP
E-Tugra	Шаблон:Code	E-Tugra Certification Practice Statement (CPS)Шаблон:Недоступная ссылка, p. 2
Entrust	Шаблон:Code	Entrust EV CPS
ETSI	Шаблон:Code	ETSI TS 102 042 V2.4.1, p. 18
	Шаблон:Code
Firmaprofesional	1.3.6.1.4.1.13177.10.1.3.10	SSL Secure Web Server Certificates, p. 6
GeoTrust	Шаблон:Code	GeoTrust EV CPS v. 2.6, p. 28
GlobalSign	1.3.6.1.4.1.4146.1.1	GlobalSign CP/CPS Repository
Go Daddy	2.16.840.1.114413.1.7.23.3	Go Daddy CP/CPS Repository
Izenpe	1.3.6.1.4.1.14777.6.1.1	DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Шаблон:Wayback,
Kamu Sertifikasyon Merkezi	2.16.792.1.2.1.1.5.7.1.9	TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE
Logius PKIoverheid	2.16.528.1.1003.1.2.7	CPS PA PKIoverheid Extended Validation Root v1.5
Network Solutions	Шаблон:Code	Network Solutions EV CPS v. 1.1, 2.4.1
OpenTrust/DocuSign France	Шаблон:Code	SSL Extended Validation CA Certificate Policy version
QuoVadis	Шаблон:Code	QuoVadis Root CA2 CP/CPS, p. 34
SECOM Trust Systems	1.2.392.200091.100.721.1	SECOM Trust Systems EV CPS Шаблон:Wayback (in Japanese), p. 2
SHECA	1.2.156.112570.1.1.3	SHECA EV CPS
Starfield Technologies	2.16.840.1.114414.1.7.23.3	Starfield EV CPS
StartCom Certification Authority	Шаблон:Code	StartCom CPS, no. 4
	Шаблон:Code
Swisscom	2.16.756.1.83.21.0	Swisscom Root EV CA 2 CPS (in German), p. 62
SwissSign	2.16.756.1.89.1.2.1.1	SwissSign Gold CP/CPS
T-Systems	1.3.6.1.4.1.7879.13.24.1	CP/CPS TeleSec ServerPass v. 3.0, p. 14
Thawte	2.16.840.1.113733.1.7.48.1	Thawte EV CPS v. 3.3, p. 95
Trustwave	Шаблон:Code	Trustwave EV CPS [1]
Symantec (VeriSign)	2.16.840.1.113733.1.7.23.6	Symantec EV CPS
Verizon Business (formerly Cybertrust)	1.3.6.1.4.1.6334.1.100.1	Cybertrust CPS v.5.2 Шаблон:Wayback, p. 20
Wells Fargo	2.16.840.1.114171.500.9	WellsSecure PKI CPS [2]
WoSign	1.3.6.1.4.1.36305.2	WoSign CPS V1.2.4, p. 21

Критика

Доступность малому бизнесу

Сертификаты EV задумывались как способ подтвердить надежность сайта^[13], но некоторые малые компании считали^[14], что сертификаты EV могут дать преимущество только крупному бизнесу. Пресса заметила, что есть помехи в получении сертификата^[14]. Версия 1.0 была пересмотрена, разрешив регистрацию EV-сертификатов в том числе и малым предприятиям, что позволило увеличить количество выданных сертификатов.

Эффективность против фишинговых атак

В 2006 году ученые Стэнфордского университета и Microsoft Research провели исследования, касающиеся того, как отображались сертификаты EV^[15] в Internet Explorer 7. Согласно результатам исследования, «люди, которые не разбирались в браузере, не обратили внимания на EV SSL, и не смогли получить результат, который был бы лучше, чем у контрольной группы». В то же время «участники, которых попросили прочитать файл Help, хотели признать правильными как настоящие сайты, так и фальшивые».

Мнение эксперта об эффективности EV в борьбе с фишингом

Когда говорят о EV, заявляют, что эти сертификаты помогают защититься от фишинга^[16], но новозеландский эксперт Питер Гутман считает, что на самом деле эффект в борьбе с фишингом минимален. По его мнению, сертификаты EV — просто способ заставить заплатить больше денег^[17].

Похожие названия компаний

Названия компаний могут совпадать. Атакующий может зарегистрировать свою компанию с тем же названием, создать SSL сертификат, и сделать сайт, похожий на оригинальный. Ученый создал компанию «Stripe, Inc.» в Kентукки и заметил, что надпись в браузере очень похожа на надпись компании Stripe, Inc, находящейся в Делавэре. Ученый подсчитал: зарегистрировать такой сертификат стоило ему всего 177 долларов (100 долларов за регистрацию компании и 77 долларов за сертификат). Он заметил, что с помощью нескольких кликов мыши можно посмотреть адрес регистрации сертификата, но большинство пользователей не будут делать этого: они просто обратят внимание на адресную строку браузера^[18].

EV-сертификаты для подписи кода

Другим применением EV-сертификатов помимо защиты сайтов является подпись кода программ, приложений и драйверов. При помощи специализированного EV Code Signing сертификата разработчик подписывает свой код, что подтверждает его авторство и делает невозможным внесение не авторизованных изменений.

В современных версиях ОС Windows попытка запуска исполняемых файлов без подписи Code Signing приводит к отображению окна предупреждения защитного компонента SmartScreen о неподтверждённом издателе. Многие пользователи на этом этапе, опасаясь небезопасного источника, могут отказаться от установки программы, поэтому наличие подписи EV-сертификатом Code Signing увеличивает количество успешных инсталляций.

См. также

• HSTS
• Шаблон:Iw

Примечания

Шаблон:Примечания

Ссылки

• Unghost, Alena159, Harry, Anticisco Freeman, Valery Ledovskoy, mozcolonslashslasha. Как мне узнать, является ли мое соединение с веб-сайтом безопасным? | Справка FirefoxШаблон:Ref-ru

Шаблон:Rq

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.