EV SSL -sertifikaatti ( Extended Validation - Extended Verification) on varmenteen tyyppi, jota varten on tarpeen vahvistaa sen yrityksen olemassaolo, jonka nimissä se on myönnetty , sekä se, että tämä yritys omistaa sertifioidun verkkotunnuksen. nimet.
Selaimet ilmoittivat käyttäjille, että verkkosivustolla oli EV SSL -sertifikaatti. Ne joko näyttivät yrityksen nimen verkkotunnuksen sijaan tai asettivat yrityksen nimen vierekkäin. Myöhemmin selaimen kehittäjät ilmoittivat kuitenkin aikovansa poistaa tämän ominaisuuden käytöstä [1] .
EV-varmenteissa käytetään samoja suojausmenetelmiä kuin DV-, IV- ja OV-varmenteissa: korkeamman turvatason takaa tarve vahvistaa yrityksen olemassaolo varmenneviranomaisessa.
EV-varmenteiden myöntämisen kriteerit määritellään erityisellä asiakirjalla: Guidelines for Extended Validation [2] (Guidelines for Extended Validation), tämän asiakirjan nykyinen (1.8.2019 alkaen) versio on 1.7.0. Ohjeet on kehittänyt CA/Browser Forum, organisaatio, jonka jäseninä on varmenneviranomaisia ja Internet-ohjelmistojen toimittajia sekä laki- ja tilintarkastusalan edustajia [3] .
Vuonna 2005 Comodo Groupin toimitusjohtaja Melih Abdulhayoglu kutsui koolle CA/Browser Forumin ensimmäisen kokouksen. Kokouksen tarkoituksena oli parantaa SSL/TLS-varmenteiden myöntämisen standardeja [4] . 12. kesäkuuta 2007 CA/Browser Forum ratifioi virallisesti Extended Review Guidelinesin ensimmäisen version, ja asiakirja tuli voimaan välittömästi. Muodollinen hyväksyntä on johtanut siihen, että Internetin luotettavien verkkosivustojen tunnistamiseen tarvittavan infrastruktuurin tarjoaminen on saatu päätökseen. Sitten huhtikuussa 2008 CA/Browser Forum julkisti oppaan uuden version (1.1). Uusi versio perustui varmenneviranomaisten ja ohjelmistovalmistajien kokemukseen.
Tärkeä motiivi käyttää digitaalisia sertifikaatteja SSL/TLS :n kanssa on lisätä luottamusta online-tapahtumiin. Tämä edellyttää, että verkkosivustojen ylläpitäjät on varmennettava varmenteen saamiseksi.
Kaupallinen paine on kuitenkin saanut jotkin varmentajat ottamaan käyttöön alemman tason varmenteita (domain-validation). Verkkotunnuksen vahvistusvarmenteita oli olemassa ennen laajennettua vahvistusta , ja niiden hankkiminen vaatii yleensä vain jonkinlaisen todisteen toimialueen hallinnasta. Erityisesti verkkotunnuksen vahvistusvarmenteissa ei mainita, että kyseisellä oikeushenkilöllä on mitään suhdetta verkkotunnukseen, vaikka sivusto itse saattaa sanoa kuuluvansa kyseiselle oikeushenkilölle.
Aluksi useimpien selainten käyttöliittymät eivät tehneet eroa toimialueen validoinnin ja laajennetun vahvistussertifikaattien välillä . Koska kaikki onnistuneet SSL/TLS-yhteydet johtivat vihreän lukkokuvakkeen ilmestymiseen useimmissa selaimissa, käyttäjät eivät todennäköisesti tienneet, onko sivustolla pidennetty validointia vai ei, mutta lokakuusta 2020 lähtien kaikki yleisimmät selaimet ovat poistaneet EV-kuvakkeet. Tämän seurauksena huijarit (mukaan lukien tietojenkalasteluun osallistuvat ) voivat käyttää TLS:ää lisätäkseen luottamusta verkkosivustoihinsa. Selaimen käyttäjät voivat tarkistaa varmenteenhaltijoiden henkilöllisyyden tarkastelemalla myönnetyn varmenteen siinä määritellyt tiedot (mukaan lukien organisaation nimi ja osoite).
EV-sertifioinnit validoidaan sekä perusvaatimusten että edistyneiden vaatimusten mukaisesti. Edellytetään hakijan pyytämien verkkotunnusten manuaalista varmennusta, tarkastusta virallisiin viranomaisiin, riippumattomiin tietolähteisiin ja puhelut yritykseen. Jos varmenne on myönnetty, siihen on tallennettu varmenneviranomaisen rekisteröimän yrityksen sarjanumero sekä fyysinen osoite.
EV-sertifikaattien tarkoituksena on lisätä käyttäjien luottamusta siihen, että verkkosivuston ylläpitäjä on todella olemassa oleva kokonaisuus [5] .
Edelleen ollaan kuitenkin huolissaan siitä, että sama vastuun puute, joka johti yleisön luottamuksen menettämiseen DV-varmenteita kohtaan, johtaa EV-sertifikaattien arvon menetykseen [6] .
Vain kolmannen osapuolen pätevät auditoidut CA:t voivat tarjota EV-varmenteita [7] , ja kaikkien CA:iden on noudatettava myöntämisvaatimuksia, joiden tavoitteena on:
Lukuun ottamatta [8] EV-varmenteita .onion -verkkotunnuksille , ei ole mahdollista hankkia jokerimerkkivarmennetta laajennetulla validoinnilla - sen sijaan kaikki FQDN:t on sisällytettävä varmenteeseen ja varmentaa CA [9] .
EV-varmennetta tukevat selaimet näyttävät tiedot EV-varmenteen olemassaolosta: tyypillisesti käyttäjälle näytetään organisaation nimi ja sijainti, kun hän tarkastelee varmennetietoja. Microsoft Internet Explorer , Mozilla Firefox , Safari , Opera ja Google Chrome -selaimet tukevat EV:tä.
Laajennetun validoinnin säännöt edellyttävät, että osallistuvat CA:t määrittävät tietyn EV-tunnuksen sen jälkeen, kun varmentaja on suorittanut riippumattoman tarkastuksen ja täyttänyt muut kriteerit. Selaimet muistavat tämän tunnisteen, yhdistävät varmenteessa olevan EV-tunnisteen kyseisen varmenteen myöntäjän selaimessa olevaan: jos ne täsmäävät, varmenne tunnistetaan voimassa olevaksi. Monissa selaimissa EV-varmenteen olemassaolo ilmoitetaan:
Napsauttamalla "lukkoa" saat lisätietoja varmenteesta, mukaan lukien EV-varmenteen myöntäneen varmentajan nimen.
Seuraavat selaimet määrittävät EV-varmenteen: [11] :
Laajennettu validointi tukee kaikkia verkkopalvelimia, kunhan ne tukevat HTTPS :ää .
EV - varmenteet ovat standardinmukaisia digitaalisia X.509 - varmenteita . Ensisijainen tapa tunnistaa EV-varmenne on viitata Certificate Policies -kenttään . Kukin varmenteen myöntävä viranomainen käyttää tunnistetta (OID) tunnistaakseen EV-varmenteensa, ja varmenneviranomainen dokumentoi jokaisen OID:n. Kuten päävarmentajat, selaimet eivät välttämättä tunnista kaikkia varmenteen myöntäjiä.
| Liikkeeseenlaskija | OID | Sertifiointikäytäntö |
|---|---|---|
| Actalis | 1.3.159.1.17.1 | Actalis CPS v2.3 , |
| Vahvista luottamus | 1.3.6.1.4.1.34697.2.1 | AffirmTrust CPS v1.1 , s. neljä |
| 1.3.6.1.4.1.34697.2.2 | ||
| 1.3.6.1.4.1.34697.2.3 | ||
| 1.3.6.1.4.1.34697.2.4 | ||
| A-Luottamus | 1.2.40.0.17.1.22 | a.sign SSL EV CPS v1.3.4 |
| ostopassi | 2.16.578.1.26.1.3.3 | Buypass Class 3 EV CPS |
| Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2 | Camerfirma CPS v3.2.3 |
| 1.3.6.1.4.1.17326.10.8.12.1.2 | ||
| Comodo ryhmä | 1.3.6.1.4.1.6449.1.2.1.5.1 | Comodo EV CPS , s. 28 |
| DigiCert | 2.16.840.1.114412.2.1 | DigiCert EV CPS v. 1.0.3 , s. 56 |
| 2.16.840.1.114412.1.3.0.2 | ||
| DigiNotar (ei toimi [12] ) | 2.16.528.1.1001.1.1.1.12.6.1.1.1 | Ei käytössä |
| D-TRUST | 1.3.6.1.4.1.4788.2.202.1 | D-TRUST CP |
| E Tugra | 2.16.792.3.0.4.1.1.4 | E-Tugra Certification Practice Statement (CPS) (linkki ei ole käytettävissä) , s. 2 |
| Luota | 2.16.840.1.114028.10.1.2 | Luota EV CPS:ään |
| ETSI | 0.4.0.2042.1.4 | ETSI TS 102 042 V2.4.1 , s. kahdeksantoista |
| 0.4.0.2042.1.5 | ||
| Vahva ammattilainen | 1.3.6.1.4.1.13177.10.1.3.10 | SSL Secure Web Server Certificates , s. 6 |
| GeoTrust | 1.3.6.1.4.1.14370.1.6 | GeoTrust EV CPS v. 2.6 , s. 28 |
| GlobalSign | 1.3.6.1.4.1.4146.1.1 | GlobalSign CP/CPS -varasto |
| Hyvä isä | 2.16.840.1.114413.1.7.23.3 | Siirry Daddy CP/CPS -varastoon |
| Izenpe | 1.3.6.1.4.1.14777.6.1.1 | DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Arkistoitu 30. huhtikuuta 2015 Wayback Machinessa . |
| Kamu Sertifikasyon Merkezi | 2.16.792.1.2.1.1.5.7.1.9 | TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE |
| Logius PKIoverheid | 2.16.528.1.1003.1.2.7 | CPS PA PKIoverheid Extended Validation Root v1.5 |
| Verkkoratkaisut | 1.3.6.1.4.1.782.1.2.1.8.1 | Verkkoratkaisut EV CPS v. 1.1 , 2.4.1 |
| OpenTrust/DocuSign Ranska | 1.3.6.1.4.1.22234.2.5.2.3.1 | SSL Extended Validation CA-varmennekäytännön versio |
| QuoVadis | 1.3.6.1.4.1.8024.0.2.100.1.2 | QuoVadis Root CA2 CP/CPS , s. 34 |
| SECOM Trust Systems | 1.2.392.200091.100.721.1 | SECOM Trust Systems EV CPS Arkistoitu 24. heinäkuuta 2011 Wayback Machinessa (japaniksi), p. 2 |
| SHECA | 1.2.156.112570.1.1.3 | SHECA EV CPS |
| Starfield Technologies | 2.16.840.1.114414.1.7.23.3 | Starfield EV CPS |
| StartComin varmenneviranomainen | 1.3.6.1.4.1.23223.2 | StartCom CPS , no. neljä |
| 1.3.6.1.4.1.23223.1.1.1 | ||
| swisscom | 2.16.756.1.83.21.0 | Swisscom Root EV CA 2 CPS (saksaksi), s. 62 |
| SwissSign | 2.16.756.1.89.1.2.1.1 | SwissSign Gold CP/CPS |
| T-Systems | 1.3.6.1.4.1.7879.13.24.1 | CP/CPS TeleSec Server Pass v. 3.0 , s. neljätoista |
| sulaa | 2.16.840.1.113733.1.7.48.1 | Thawte EV CPS v. 3.3 , s. 95 |
| luottamusaalto | 2.16.840.1.114404.1.1.2.4.1 | Trustwave EV CPS [1] |
| Symantec ( VeriSign ) | 2.16.840.1.113733.1.7.23.6 | Symantec EV CPS |
| Verizon Business (entinen Cybertrust) | 1.3.6.1.4.1.6334.1.100.1 | Cybertrust CPS v.5.2 Arkistoitu 15. heinäkuuta 2011 Wayback Machinessa , p. kaksikymmentä |
| Wells Fargo | 2.16.840.1.114171.500.9 | WellsSecure PKI CPS [2] |
| WoSign | 1.3.6.1.4.1.36305.2 | WoSign CPS V1.2.4 , s. 21 |
Sähköajoneuvojen sertifikaatit suunniteltiin tapaksi todistaa sivuston luotettavuus [13] , mutta jotkut pienet yritykset katsoivat [14] , että sähköajoneuvojen sertifikaatit voisivat antaa etua vain suurille yrityksille. Lehdistö havaitsi, että todistuksen saamisessa on esteitä [14] . Versio 1.0 on tarkistettu mahdollistamaan EV-varmenteiden rekisteröinti, mukaan lukien pienet yritykset, mikä on lisännyt myönnettyjen varmenteiden määrää.
Vuonna 2006 Stanfordin yliopiston ja Microsoft Researchin tutkijat suorittivat tutkimusta siitä, miten sähköautojen sertifikaatit [15] näytettiin Internet Explorer 7 :ssä . Tutkimuksen tulosten mukaan "Ihmiset, jotka eivät olleet selaimen taitavia, eivät kiinnittäneet huomiota EV SSL:ään eivätkä pystyneet saamaan parempia tuloksia kuin kontrolliryhmä." Samaan aikaan "osallistujat, joita pyydettiin lukemaan ohjetiedosto , halusivat hyväksyä sekä oikeat että väärennetyt sivustot oikeiksi."
Sähköautoista puhuttaessa he väittävät, että nämä sertifikaatit auttavat suojaamaan tietojenkalastelulta [16] , mutta Uuden-Seelannin asiantuntija Peter Gutman uskoo, että todellisuudessa vaikutus tietojenkalastelujen torjunnassa on minimaalinen. Hänen mielestään EV-sertifikaatit ovat vain tapa saada ihmiset maksamaan enemmän rahaa [17] .
Yritysten nimet voivat olla samat. Hyökkääjä voi rekisteröidä oman yrityksensä samalla nimellä, luoda SSL-varmenteen ja saada sivuston näyttämään alkuperäiseltä. Tiedemies loi yrityksen "Stripe, Inc." Kentuckyssa ja huomasi, että selaimen merkintä on hyvin samanlainen kuin Delawaressa sijaitsevan yrityksen Stripe, Inc. merkintä . Tiedemies laski, että tällaisen todistuksen rekisteröinti maksoi hänelle vain 177 dollaria (100 dollaria yrityksen rekisteröimisestä ja 77 dollaria sertifikaatista). Hän huomasi, että muutamalla hiiren napsautuksella näet varmenteen rekisteröintiosoitteen, mutta useimmat käyttäjät eivät tee sitä: he vain kiinnittävät huomiota selaimen osoitepalkkiin [18] .
Toinen EV-sertifikaattien käyttökohde sivustojen suojaamisen lisäksi on ohjelmien, sovellusten ja ohjainten koodin allekirjoittaminen. Erikoistetun EV Code Signing -sertifikaatin avulla kehittäjä allekirjoittaa koodinsa, mikä vahvistaa sen tekijän ja tekee luvattomien muutosten tekemisen mahdottomaksi.
Windows-käyttöjärjestelmän nykyaikaisissa versioissa yritys ajaa suoritettavia tiedostoja ilman koodin allekirjoitusallekirjoitusta johtaa SmartScreen-suojauskomponentin varoituksen vahvistamattomasta julkaisijasta. Monet käyttäjät voivat tässä vaiheessa epävarman lähteen peläten kieltäytyä asentamasta ohjelmaa, joten Code Signing EV-sertifikaatin allekirjoittaminen lisää onnistuneiden asennusten määrää. [19]
Ben Wilson. Tarkastuskriteerit . _ CAB-foorumi. Haettu: 23.8.2019.