EV SSL - certifikat ( Extended Validation - extended verification) er en type certifikat, for hvilken det er nødvendigt at bekræfte eksistensen af den virksomhed, i hvis navn det er udstedt i certificeringsmyndigheden , samt det faktum, at denne virksomhed ejer et certificeret domæne navne.
Browsere informerede brugerne om, at hjemmesiden havde et EV SSL-certifikat. De viste enten firmanavnet i stedet for domænenavnet eller placerede firmanavnet side om side. Senere browserudviklere annoncerede dog, at de havde planer om at deaktivere denne funktion [1] .
EV-certifikater bruger de samme sikkerhedsmetoder som DV-, IV- og OV-certifikater: Et højere sikkerhedsniveau er tilvejebragt af behovet for at bekræfte eksistensen af virksomheden i certifikatmyndigheden.
Kriterierne for udstedelse af EV-certifikater er defineret af et særligt dokument: Guidelines for Extended Validation [2] (Guidelines for Extended Validation), i øjeblikket (fra 1. august 2019) er versionen af dette dokument 1.7.0. Retningslinjerne er udviklet af CA/Browser Forum, en organisation, hvis medlemskab omfatter certifikatmyndigheder og internetsoftwareleverandører samt medlemmer af juridiske og revisionsprofessionelle [3] .
I 2005 indkaldte Comodo Group CEO Melih Abdulhayoglu til det første møde i det, der skulle blive CA/Browser Forum. Formålet med mødet var at forbedre standarderne for udstedelse af SSL/TLS-certifikater [4] . Den 12. juni 2007 ratificerede CA/Browser Forum formelt den første version af de udvidede retningslinjer for gennemgang, og dokumentet trådte i kraft med det samme. Den formelle godkendelse har ført til afslutningen af arbejdet med at levere infrastrukturen til at identificere pålidelige websteder på internettet. Så, i april 2008, annoncerede CA/Browser Forum en ny version af vejledningen (1.1). Den nye version var baseret på erfaringer fra certifikatmyndigheder og softwareproducenter.
En vigtig motivation for at bruge digitale certifikater med SSL/TLS er at øge tilliden til online transaktioner. Dette kræver, at webstedsoperatører skal verificeres for at få et certifikat.
Kommercielt pres har dog fået nogle CA'er til at indføre certifikater på lavere niveau (domænevalidering). Domænevalideringscertifikater eksisterede før udvidet validering og kræver typisk kun et vist bevis for domænekontrol for at opnå . Navnlig angiver domænevalideringscertifikater ikke, at den givne juridiske enhed har nogen relation til domænet, selvom webstedet selv kan sige, at det tilhører den juridiske enhed.
Til at begynde med skelnede brugergrænsefladerne i de fleste browsere ikke mellem domænevalidering og udvidede valideringscertifikater . Fordi enhver succesfuld SSL/TLS-forbindelse resulterede i, at et grønt hængelåsikon dukkede op i de fleste browsere, var det usandsynligt, at brugerne vidste, om et websted havde udvidet validering eller ej, men fra oktober 2020 har alle større browsere fjernet EV-ikonerne. Som et resultat heraf kunne svindlere (inklusive dem, der er involveret i phishing ) bruge TLS til at øge tilliden til deres websteder. Browserbrugere kan bekræfte identiteten af certifikatindehavere ved at undersøge oplysningerne om det udstedte certifikat, der er angivet i det (inklusive navnet på organisationen og dens adresse).
EV-certificeringer er valideret i forhold til både grundlæggende krav og avancerede krav. Manuel verifikation af de domænenavne, som ansøgeren anmoder om, verifikation mod officielle regeringskilder, verifikation mod uafhængige informationskilder og telefonopkald til virksomheden er påkrævet. Hvis certifikatet er udstedt, er løbenummeret på den af certifikatmyndigheden registrerede virksomhed, samt den fysiske adresse, gemt i det.
EV-certifikater har til formål at øge brugernes tillid til, at en webstedsoperatør er en virkelig eksisterende enhed [5] .
Der er dog stadig bekymring for, at den samme mangel på ansvarlighed, som førte til tabet af offentlighedens tillid til DV-certifikatet, vil medføre, at værdien af EV-certifikater går tabt [6] .
Kun tredjeparts kvalificerede reviderede CA'er må tilbyde EV-certifikater [7] , og alle CA'er skal følge udstedelseskrav, der har til formål at:
Med undtagelse af [8] EV-certifikater for .onion- domæner er det ikke muligt at opnå et wildcard-certifikat med Extended Validation - i stedet skal alle FQDN'er inkluderes i certifikatet og valideres af en CA [9] .
Browsere, der understøtter EV, viser oplysninger om, at der er et EV-certifikat: Typisk vises brugeren navnet og placeringen af organisationen, når han ser oplysninger om certifikatet. Microsoft Internet Explorer , Mozilla Firefox , Safari , Opera og Google Chrome -browsere understøtter EV.
Udvidede valideringsregler kræver, at deltagende CA'er tildeler et specifikt EV ID, efter at CA'en har gennemført en uafhængig revision og opfyldt andre kriterier. Browsere husker denne identifikator, match EV-identifikationen i certifikatet med den i browseren for den pågældende certifikatmyndighed: Hvis de matcher, anerkendes certifikatet som gyldigt. I mange browsere signaleres tilstedeværelsen af et EV-certifikat af:
Ved at klikke på "låsen" kan du få flere oplysninger om certifikatet, herunder navnet på den certifikatmyndighed, der har udstedt EV-certifikatet.
Følgende browsere definerer et EV-certifikat: [11] :
Udvidet validering understøtter alle webservere, så længe de understøtter HTTPS .
EV-certifikater er standard X.509 digitale certifikater . Den primære måde at identificere et EV-certifikat på er at henvise til feltet Certifikatpolitikker . Hver certifikatudstedende myndighed bruger sin identifikator (OID) til at identificere sine EV-certifikater, og hver OID er dokumenteret af certifikatmyndigheden. Som med root-CA'er genkender browsere muligvis ikke alle dem, der udsteder certifikater.
| Udsteder | OID | Erklæring om certificeringspraksis |
|---|---|---|
| Actalis | 1.3.159.1.17.1 | Actalis CPS v2.3 , |
| AffirmTrust | 1.3.6.1.4.1.34697.2.1 | AffirmTrust CPS v1.1 , s. fire |
| 1.3.6.1.4.1.34697.2.2 | ||
| 1.3.6.1.4.1.34697.2.3 | ||
| 1.3.6.1.4.1.34697.2.4 | ||
| A-Trust | 1.2.40.0.17.1.22 | a.sign SSL EV CPS v1.3.4 |
| buypass | 2.16.578.1.26.1.3.3 | Buypass Klasse 3 EV CPS |
| Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2 | Camerfirma CPS v3.2.3 |
| 1.3.6.1.4.1.17326.10.8.12.1.2 | ||
| Comodo Group | 1.3.6.1.4.1.6449.1.2.1.5.1 | Comodo EV CPS , s. 28 |
| DigiCert | 2.16.840.1.114412.2.1 | DigiCert EV CPS v. 1.0.3 , p. 56 |
| 2.16.840.1.114412.1.3.0.2 | ||
| DigiNotar (virker ikke [12] ) | 2.16.528.1.1001.1.1.1.12.6.1.1.1 | N/A |
| D-TRUST | 1.3.6.1.4.1.4788.2.202.1 | D-TRUST CP |
| E Tugra | 2.16.792.3.0.4.1.1.4 | E-Tugra Certification Practice Statement (CPS) (link utilgængeligt) , s. 2 |
| Betro | 2.16.840.1.114028.10.1.2 | Betro EV CPS |
| ETSI | 0.4.0.2042.1.4 | ETSI TS 102 042 V2.4.1 , s. atten |
| 0.4.0.2042.1.5 | ||
| Fast professionel | 1.3.6.1.4.1.13177.10.1.3.10 | SSL Secure Web Server Certificates , s. 6 |
| GeoTrust | 1.3.6.1.4.1.14370.1.6 | GeoTrust EV CPS v. 2.6 , s. 28 |
| GlobalSign | 1.3.6.1.4.1.4146.1.1 | GlobalSign CP/CPS Repository |
| Kom så far | 2.16.840.1.114413.1.7.23.3 | Gå til Daddy CP/CPS Repository |
| Izenpe | 1.3.6.1.4.1.14777.6.1.1 | DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA OG SEDE ELECTRÓNICA EV Arkiveret 30. april 2015 på Wayback Machine . |
| Kamu Sertifikasyon Merkezi | 2.16.792.1.2.1.1.5.7.1.9 | TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE |
| Logius PKIoverheid | 2.16.528.1.1003.1.2.7 | CPS PA PKIoverheid Extended Validation Root v1.5 |
| Netværksløsninger | 1.3.6.1.4.1.782.1.2.1.8.1 | Network Solutions EV CPS v. 1.1 , 2.4.1 |
| OpenTrust/DocuSign Frankrig | 1.3.6.1.4.1.22234.2.5.2.3.1 | SSL Extended Validation CA Certificate Policy version |
| QuoVadis | 1.3.6.1.4.1.8024.0.2.100.1.2 | QuoVadis Root CA2 CP/CPS , s. 34 |
| SECOM Trust Systems | 1.2.392.200091.100.721.1 | SECOM Trust Systems EV CPS Arkiveret 24. juli 2011 på Wayback Machine (på japansk), s. 2 |
| SHECA | 1.2.156.112570.1.1.3 | SHECA EV CPS |
| Starfield Technologies | 2.16.840.1.114414.1.7.23.3 | Starfield EV CPS |
| StartCom Certification Authority | 1.3.6.1.4.1.23223.2 | StartCom CPS , nr. fire |
| 1.3.6.1.4.1.23223.1.1.1 | ||
| swisscom | 2.16.756.1.83.21.0 | Swisscom Root EV CA 2 CPS (på tysk), s. 62 |
| SwissSign | 2.16.756.1.89.1.2.1.1 | SwissSign Gold CP/CPS |
| T-systemer | 1.3.6.1.4.1.7879.13.24.1 | CP/CPS TeleSec Server Pass v. 3,0 , s. fjorten |
| tø op | 2.16.840.1.113733.1.7.48.1 | Thawte EV CPS v. 3.3 , s. 95 |
| tillidsbølge | 2.16.840.1.114404.1.1.2.4.1 | Trustwave EV CPS [1] |
| Symantec ( VeriSign ) | 2.16.840.1.113733.1.7.23.6 | Symantec EV CPS |
| Verizon Business (tidligere Cybertrust) | 1.3.6.1.4.1.6334.1.100.1 | Cybertrust CPS v.5.2 Arkiveret 15. juli 2011 på Wayback Machine , s. tyve |
| Wells Fargo | 2.16.840.1.114171.500.9 | WellsSecure PKI CPS [2] |
| WoSign | 1.3.6.1.4.1.36305.2 | WoSign CPS V1.2.4 , s. 21 |
EV-certifikater blev tænkt som en måde at bevise troværdigheden af et websted [13] , men nogle små virksomheder mente [14] at EV-certifikater kun kunne give en fordel til store virksomheder. Pressen bemærkede, at der er hindringer for at opnå et certifikat [14] . Version 1.0 er blevet revideret for at tillade registrering af EV-certifikater, herunder små virksomheder, hvilket har øget antallet af udstedte certifikater.
I 2006 foretog forskere ved Stanford University og Microsoft Research forskning i, hvordan EV-certifikater [15] blev vist i Internet Explorer 7 . Ifølge resultaterne af undersøgelsen, "Folk, der ikke var browserkyndige, var ikke opmærksomme på EV SSL og var ikke i stand til at få bedre resultater end kontrolgruppen." Samtidig ville "deltagere, der blev bedt om at læse hjælpefilen , acceptere både de rigtige sider og de falske sider som korrekte."
Når man taler om EV, hævder de, at disse certifikater hjælper med at beskytte mod phishing [16] , men New Zealand-ekspert Peter Gutman mener, at effekten i kampen mod phishing faktisk er minimal. Efter hans mening er EV-certifikater blot en måde at få folk til at betale flere penge [17] .
Virksomhedsnavne kan være de samme. Angriberen kan registrere sit eget firma med samme navn, oprette et SSL-certifikat og få webstedet til at ligne det originale. Forskeren skabte virksomheden "Stripe, Inc." i Kentucky og bemærkede, at inskriptionen i browseren er meget lig inskriptionen fra virksomheden Stripe, Inc., der ligger i Delaware . Videnskabsmanden beregnede, at det kun kostede ham $177 at registrere et sådant certifikat ($100 for at registrere et firma og $77 for et certifikat). Han bemærkede, at du med et par klik med musen kan se certifikatets registreringsadresse, men de fleste brugere vil ikke gøre dette: de vil blot være opmærksomme på browserens adresselinje [18] .
En anden anvendelse af EV-certifikater, udover at beskytte websteder, er signering af koden for programmer, applikationer og drivere. Ved hjælp af et specialiseret EV Code Signing-certifikat signerer udvikleren sin kode, hvilket bekræfter dens forfatterskab og gør det umuligt at foretage uautoriserede ændringer.
I moderne versioner af Windows OS resulterer et forsøg på at køre eksekverbare filer uden en kodesigneringssignatur i visningen af en SmartScreen-sikkerhedskomponent, der advarer om en ubekræftet udgiver. Mange brugere på dette stadium, der frygter en usikker kilde, kan nægte at installere programmet, så at have et Code Signing EV-certifikat underskrevet øger antallet af vellykkede installationer. [19]
Ben Wilson. Revisionskriterier . _ CAB Forum. Hentet: 23. august 2019.