EV SSL- certifikat ( Extended Validation - extended verification) är en typ av certifikat för vilket det är nödvändigt att bekräfta existensen av företaget i vars namn det är utfärdat i certifieringsmyndigheten , samt det faktum att detta företag äger en certifierad domän namn.
Webbläsare informerade användarna om att webbplatsen hade ett EV SSL-certifikat. De visade antingen företagsnamnet istället för domännamnet, eller placerade företagsnamnet sida vid sida. Senare webbläsarutvecklare meddelade dock att de hade planer på att inaktivera denna funktion [1] .
EV-certifikat använder samma säkerhetsmetoder som DV-, IV- och OV-certifikat: en högre säkerhetsnivå tillhandahålls av behovet av att bekräfta att företaget finns i certifikatutfärdaren.
Kriterierna för att utfärda EV-certifikat definieras av ett speciellt dokument: Riktlinjer för utökad validering [2] (Riktlinjer för utökad validering), för närvarande (från och med 1 augusti 2019) är versionen av detta dokument 1.7.0. Riktlinjerna har utvecklats av CA/Browser Forum, en organisation vars medlemskap inkluderar certifikatutfärdare och leverantörer av Internetprogramvara, såväl som medlemmar av jurist- och revisionsyrken [3] .
2005 kallade Comodo Groups vd Melih Abdulhayoglu till det första mötet i det som skulle bli CA/Browser Forum. Syftet med mötet var att förbättra standarderna för att utfärda SSL/TLS-certifikat [4] . Den 12 juni 2007 ratificerade CA/webbläsarforum formellt den första versionen av riktlinjerna för utökad granskning, och dokumentet trädde i kraft omedelbart. Det formella godkännandet har lett till slutförandet av arbetet med att tillhandahålla infrastrukturen för att identifiera pålitliga webbplatser på Internet. Sedan, i april 2008, tillkännagav CA/Browser Forum en ny version av guiden (1.1). Den nya versionen baserades på erfarenheter från certifikatmyndigheter och mjukvarutillverkare.
En viktig motivering för att använda digitala certifikat med SSL/TLS är att öka förtroendet för onlinetransaktioner. Detta kräver att webbplatsoperatörer verifieras för att få ett certifikat.
Kommersiellt tryck har dock lett till att vissa certifikatutfärdare har infört certifikat på lägre nivå (domänvalidering). Domänvalideringscertifikat fanns före utökad validering och kräver vanligtvis endast ett visst bevis på domänkontroll för att få. I synnerhet anger domänvalideringscertifikat inte att den givna juridiska personen har någon relation till domänen, även om webbplatsen själv kan säga att den tillhör den juridiska personen.
Till en början gjorde användargränssnitten för de flesta webbläsare ingen skillnad mellan domänvalidering och utökade valideringscertifikat . Eftersom en lyckad SSL/TLS-anslutning resulterade i att en grön hänglåsikon visas i de flesta webbläsare, var det osannolikt att användarna visste om en webbplats hade utökad validering eller inte, men från och med oktober 2020 har alla större webbläsare tagit bort EV-ikonerna. Som ett resultat kan bedragare (inklusive de som är inblandade i nätfiske ) använda TLS för att öka förtroendet för sina webbplatser. Webbläsaranvändare kan verifiera identiteten på certifikatinnehavare genom att granska informationen om det utfärdade certifikatet som anges i det (inklusive namnet på organisationen och dess adress).
EV-certifieringar valideras mot både grundläggande krav och avancerade krav. Manuell verifiering av de domännamn som sökanden begär, verifiering mot officiella myndighetskällor, verifiering mot oberoende informationskällor och telefonsamtal till företaget krävs. Om certifikatet har utfärdats lagras det av certifikatutfärdaren registrerade företagets serienummer samt den fysiska adressen i det.
EV-certifikat är avsedda att öka användarnas förtroende för att en webbplatsoperatör är en verkligt existerande enhet [5] .
Det finns dock fortfarande oro för att samma brist på ansvarsskyldighet som ledde till att allmänheten förlorade förtroendet för DV-certifikatet kommer att leda till att värdet på EV-certifikaten går förlorat [6] .
Endast tredjepartskvalificerade granskade CA får erbjuda EV-certifikat [7] och alla CA måste följa utfärdandekrav som syftar till att:
Med undantag för [8] EV-certifikat för .onion- domäner är det inte möjligt att erhålla ett jokerteckencertifikat med Extended Validation - istället måste alla FQDN:er inkluderas i certifikatet och valideras av en CA [9] .
Webbläsare som stöder EV visar information om att det finns ett EV-certifikat: vanligtvis visas användaren namn och plats för organisationen när information om certifikatet visas. Webbläsarna Microsoft Internet Explorer , Mozilla Firefox , Safari , Opera och Google Chrome stöder EV.
Regler för utökad validering kräver att deltagande CA:er tilldelar ett specifikt EV-ID efter att CA har genomfört en oberoende granskning och uppfyllt andra kriterier. Webbläsare kommer ihåg denna identifierare, matcha EV-identifieraren i certifikatet med den i webbläsaren för certifikatutfärdaren i fråga: om de matchar, erkänns certifikatet som giltigt. I många webbläsare signaleras närvaron av ett EV-certifikat av:
Genom att klicka på "låset" kan du få mer information om certifikatet, inklusive namnet på den certifikatutfärdare som har utfärdat EV-certifikatet.
Följande webbläsare definierar ett EV-certifikat: [11] :
Utökad validering stöder alla webbservrar så länge de stöder HTTPS .
EV-certifikat är standard X.509 digitala certifikat . Det primära sättet att identifiera ett EV-certifikat är att hänvisa till fältet Certifikatpolicyer . Varje certifikatutfärdande myndighet använder sin identifierare (OID) för att identifiera sina EV-certifikat, och varje OID dokumenteras av certifikatmyndigheten. Precis som med rotcertifikatutfärdare kanske webbläsare inte känner igen alla som utfärdar certifikat.
| Emittent | OID | Uttalande av certifieringspraxis |
|---|---|---|
| Actalis | 1.3.159.1.17.1 | Actalis CPS v2.3 , |
| AffirmTrust | 1.3.6.1.4.1.34697.2.1 | AffirmTrust CPS v1.1 , sid. fyra |
| 1.3.6.1.4.1.34697.2.2 | ||
| 1.3.6.1.4.1.34697.2.3 | ||
| 1.3.6.1.4.1.34697.2.4 | ||
| A-Trust | 1.2.40.0.17.1.22 | a.sign SSL EV CPS v1.3.4 |
| köppass | 2.16.578.1.26.1.3.3 | Buypass Klass 3 EV CPS |
| Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2 | Camerfirma CPS v3.2.3 |
| 1.3.6.1.4.1.17326.10.8.12.1.2 | ||
| Comodo Group | 1.3.6.1.4.1.6449.1.2.1.5.1 | Comodo EV CPS , sid. 28 |
| DigiCert | 2.16.840.1.114412.2.1 | DigiCert EV CPS v. 1.0.3 , sid. 56 |
| 2.16.840.1.114412.1.3.0.2 | ||
| DigiNotar (icke-fungerande [12] ) | 2.16.528.1.1001.1.1.1.12.6.1.1.1 | N/A |
| D-TRUST | 1.3.6.1.4.1.4788.2.202.1 | D-TRUST CP |
| E Tugra | 2.16.792.3.0.4.1.1.4 | E-Tugra Certification Practice Statement (CPS) (länk ej tillgänglig) , sid. 2 |
| Anförtro | 2.16.840.1.114028.10.1.2 | Anförtro EV CPS |
| ETSI | 0.4.0.2042.1.4 | ETSI TS 102 042 V2.4.1 , sid. arton |
| 0.4.0.2042.1.5 | ||
| Fast proffs | 1.3.6.1.4.1.13177.10.1.3.10 | SSL Secure Web Server Certificates , sid. 6 |
| GeoTrust | 1.3.6.1.4.1.14370.1.6 | GeoTrust EV CPS v. 2.6 , sid. 28 |
| GlobalSign | 1.3.6.1.4.1.4146.1.1 | GlobalSign CP/CPS Repository |
| Kör pappa | 2.16.840.1.114413.1.7.23.3 | Gå till Daddy CP/CPS Repository |
| Izenpe | 1.3.6.1.4.1.14777.6.1.1 | DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA OCH SEDE ELECTRÓNICA EV Arkiverad 30 april 2015 på Wayback Machine . |
| Kamu Sertifikasyon Merkezi | 2.16.792.1.2.1.1.5.7.1.9 | TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE |
| Logius PKIoverheid | 2.16.528.1.1003.1.2.7 | CPS PA PKIoverheid Extended Validation Root v1.5 |
| Nätverkslösningar | 1.3.6.1.4.1.782.1.2.1.8.1 | Network Solutions EV CPS v. 1.1 , 2.4.1 |
| OpenTrust/DocuSign Frankrike | 1.3.6.1.4.1.22234.2.5.2.3.1 | SSL Extended Validation CA-certifikatpolicyversion |
| QuoVadis | 1.3.6.1.4.1.8024.0.2.100.1.2 | QuoVadis Root CA2 CP/CPS , sid. 34 |
| SECOM Trust Systems | 1.2.392.200091.100.721.1 | SECOM Trust Systems EV CPS Arkiverad 24 juli 2011 på Wayback Machine (på japanska), sid. 2 |
| SHECA | 1.2.156.112570.1.1.3 | SHECA EV CPS |
| Starfield Technologies | 2.16.840.1.114414.1.7.23.3 | Starfield EV CPS |
| StartCom Certification Authority | 1.3.6.1.4.1.23223.2 | StartCom CPS , nr. fyra |
| 1.3.6.1.4.1.23223.1.1.1 | ||
| swisscom | 2.16.756.1.83.21.0 | Swisscom Root EV CA 2 CPS (på tyska), sid. 62 |
| SwissSign | 2.16.756.1.89.1.2.1.1 | SwissSign Gold CP/CPS |
| T-system | 1.3.6.1.4.1.7879.13.24.1 | CP/CPS TeleSec Server Pass v. 3.0 , sid. fjorton |
| töa | 2.16.840.1.113733.1.7.48.1 | Thawte EV CPS v. 3.3 , sid. 95 |
| trustwave | 2.16.840.1.114404.1.1.2.4.1 | Trustwave EV CPS [1] |
| Symantec ( VeriSign ) | 2.16.840.1.113733.1.7.23.6 | Symantec EV CPS |
| Verizon Business (tidigare Cybertrust) | 1.3.6.1.4.1.6334.1.100.1 | Cybertrust CPS v.5.2 Arkiverad 15 juli 2011 på Wayback Machine , sid. tjugo |
| Wells Fargo | 2.16.840.1.114171.500.9 | WellsSecure PKI CPS [2] |
| WoSign | 1.3.6.1.4.1.36305.2 | WoSign CPS V1.2.4 , sid. 21 |
EV-certifikat var tänkt som ett sätt att bevisa pålitligheten hos en webbplats [13] , men vissa små företag ansåg [14] att EV-certifikat bara kunde ge en fördel för stora företag. Pressen noterade att det finns hinder för att få ett certifikat [14] . Version 1.0 har reviderats för att tillåta registrering av EV-certifikat, inklusive småföretag, vilket har ökat antalet utfärdade certifikat.
År 2006 forskar forskare vid Stanford University och Microsoft Research om hur EV-certifikat [15] visades i Internet Explorer 7 . Enligt resultaten av studien, "Människor som inte var kunniga i webbläsaren uppmärksammade inte EV SSL och kunde inte få bättre resultat än kontrollgruppen." Samtidigt ville "deltagare som ombads läsa hjälpfilen acceptera både de riktiga sajterna och de falska sajterna som korrekta. "
När man talar om EV hävdar de att dessa certifikat hjälper till att skydda mot nätfiske [16] , men Nya Zeelands expert Peter Gutman menar att effekten i kampen mot nätfiske faktiskt är minimal. Enligt hans åsikt är EV-certifikat bara ett sätt att få folk att betala mer pengar [17] .
Företagsnamn kan vara desamma. Angriparen kan registrera sitt eget företag med samma namn, skapa ett SSL-certifikat och få sajten att se ut som den ursprungliga. Forskaren skapade företaget "Stripe, Inc." i Kentucky och märkte att inskriptionen i webbläsaren är mycket lik inskriptionen av företaget Stripe, Inc, som ligger i Delaware . Forskaren beräknade att det kostade honom bara 177 dollar att registrera ett sådant certifikat (100 dollar för att registrera ett företag och 77 dollar för ett certifikat). Han märkte att med några få musklick kan du se registreringsadressen för certifikatet, men de flesta användare kommer inte att göra detta: de kommer helt enkelt att uppmärksamma webbläsarens adressfält [18] .
En annan användning av EV-certifikat, förutom att skydda webbplatser, är signering av koden för program, applikationer och drivrutiner. Med hjälp av ett specialiserat EV Code Signing-certifikat signerar utvecklaren sin kod, vilket bekräftar dess författarskap och gör det omöjligt att göra obehöriga ändringar.
I moderna versioner av Windows OS resulterar ett försök att köra körbara filer utan en kodsigneringssignatur i visningen av en SmartScreen-säkerhetskomponent som varnar om en obekräftad utgivare. Många användare i detta skede, som är rädda för en osäker källa, kan vägra att installera programmet, så att ha ett Code Signing EV-certifikat undertecknat ökar antalet framgångsrika installationer. [19]
Ben Wilson. Revisionskriterier . _ CAB-forum. Hämtad: 23 augusti 2019.