EV SSL сертификат
EV SSL сертификат[1] (Extended Validation Certificate) — сертификат SSL[2][3]. Сертификат предназначен для веб-сайтов, позволяет настроить протокол HTTPS. Этот тип сертификата доказывает, что сайт принадлежит существующему юридическому лицу (организации, компании, или корпорации)[4][5].
Получение данного сертификата требует расширенной проверки подлинности центром сертификации[6]. Проверяются документы о регистрации[7], налоговая документация, сотрудники службы поддержки, телефон, владение доменом и род деятельности компании. Физические лица, индивидуальные предприниматели и другие предприниматели не могут получить сертификат данного типа[8].
В браузерах при установленном на сайте EV SSL сертификате ранее отображалась специальная зеленная адресная строка[9][10], с названием организации, для которой был выпущен EV SSL сертификат. В данный момент в браузере Google Chrome отображается серая строка с названием компании.[11]
EV SSL сертификат так же можно запустить для программного обеспечения под разными дистрибутивами. Проверенная юридическая идентификация отображается операционной системой перед продолжением установки программы. Сертификат поддерживается в Microsoft Windows, Linux, SunOS, MacOS[12].
EV SSL сертификаты работают по тем же протоколам, что и SSL сертификаты более низкого уровня OV и DV. Отличается принцип выдачи. EV сертификаты имеют специальную сигнатуру (OID), которую распознают браузеры, что и добавляет название компании в случае обнаружения подписи определенного центра сертификации. В случае появления новых центров сертификации, разработчики браузеров должны внедрить в исходный код браузера SHA2 хеш нового удостоверяющего центра сертификации и EV OID этого центра. После обновления браузера, пользователь увидит название компании. Также данный центр сертификации должен быть заранее внедрен в оснастку известных операционных систем. Созданный центр сертификации должен пройти проверку требований безопасности у всех разработчиков. Далее необходимо произвести оплату за внедрение сертификата в список доверенных удостоверяющих центров сертификации. Например, Google требует 500 тысяч долларов за внедрение в его ПО SSL сертификата. Mozilla 150 тысяч долларов, а Microsoft 1 200 000 долларов за 20 лет.
Невозможно создать самоподписанный EV сертификат (SELF-SIGNED)[13].
Поддержка[править]
EV Сертификат поддерживает прием CSR (Certificate Signing Request)[14] — запрос на выпуск сертификата, с данными, введенными на кириллице. Эти данные: адрес компании, город, название офиса, имя и фамилия представителя компании, Причем нужно учитывать, что если компания российская и зарегистрирована в России, то нельзя получить сертификат соответствия в виде имени компании, например на японском языке, или на любом другом языке, за исключением английского языка,[15] пока компания не предоставит доказательство, что зарегистрирована имя компании и на необходимом языке тоже[16]. В таком случае, нужно предоставить документ о регистрации названия компании на данном языке,[17] но проверочный телефон должен быть отличным от того номера телефона, что используется для компании зарегистрированного в России в виде русской версии языка[18]. Также, если компания имеет филиал в США, но официально зарегистрирована как юридическое лицо только в России, то в качестве адреса компании в сертификате, владелец компании имеет право использовать только тот адрес, где была официально зарегистрирована компания.[19]
EV сертификат также поддерживает русский язык.[20] Это означает, что в зеленной адресной строке можно получить имя компании не только в виде английской версии, но и в виде своего родного языка[21]. Доменное имя, зона не имеют значение. EV сертификат для российской компании можно получить как на RU, SU, UA, так и для международных и иностранных доменных имен второго уровня, таких как .COM, .US, .FR, .ORG, .NET и т.д.
EV SSL сертификаты поддерживают не только русский язык, но и всю кириллицу, это означает, что иностранные компании, например китайские, японские — тоже могут использовать свой родной язык. Поддержка кириллицы не означает, что в качестве имени компании можно использовать и разные спец. символы кодировки UTF, UNICODE, за исключением случая, если название компании было зарегистрировано со спец. знаком.[нет источника] На иллюстрации представлен пример EV сертификата на китайском удостоверяющем центре сертификации WoTrust (ранее WoSign)[22].
Но крайне рекомендуется использовать английский язык,[нет источника] так как не всем пользователям будет понятно, что именно написано, а старые браузеры, не поддерживающие кириллицу, отобразят иероглифы вместо имени компании, либо вообще зеленная адресная строка исчезнет, и сертификат будет выглядеть как OV SSL, вместо EV. Однако, сертификаты на языке кириллицы поддерживаются всеми современными браузерами и операционными системами, за исключением SunOS и IOS.[23]
EV Сертификаты поддерживают так же IDN (Internationalized Domain Names) формат (интернациональные доменные имена) — это те доменные имена, где домен вернего уровня отличаются от латинского регистра (англ. языка). Такие доменные имена верховного уровня являются например зоны: РФ, .الجزائر. .中国, .இந்தியா, .укр, .台灣 и другие. Причем, необязательно, чтобы название компании для IDN была на кириллице, можно смело использовать в CSR имя компании на латинице. Это не вызовет конфликты при выдаче сертификата с расширенной проверкой выдачи.[24]
EV сертификаты со стандартными настройками поддерживаются с 2006 года в Internet Explorer, Google Chrome, Mozilla Firefox[25] — однако были продукты в виде EV SSL SGC (Server Gated Cryptography)[26], которые позволяли преобразовать старое 40 — 56 битное шифрование в надежное 256-битное шифрование (SHA2)[27] для старых браузеров[28]. Однако сегодня количество пользователей старых браузеров практически равно нулю, в результате чего удостоверяющий центр сертификации Comodo принял решение остановить выпуск SGC SSL-сертификатов.[29]
Ещё одно значительное отличие EV SSL сертификата это то, что сертификаты с расширенной проверкой выдачи не выпускаются для всех поддоменов доменного имени компании.[30] Это означает, что EV Wildcard-сертификаты не существуют.[31] Причиной тому является невозможность контроля контента всех доменных имен третьего уровня компании. В реальности были случаи, когда сайты конструкторы устанавливали общий EV wildcard сертификат, а поддомены хостились на сайты клиентов, привлекая все больше клиентов для компании с доменным именем, оснащенным сертификатом EV уровня, однако контент данных веб сайтов не имел ничего общего с компанией, чья действительность проверялась удостоверяющим центром сертификации CA. Был принят всеобщий закон запрещающий CA подписывать EV сертификаты для всех поддоменов TLD и вторичного домена.[32]
Однако, пользователи всё еще имеют возможность выпустить EV сертификаты для поддоменов, но при этом это обходится слишком дорого, так как нужно купить EV сертификат мультидоменного уровня (Multi-Domain EV SSL Certificate).[33]
Удостоверяющие центры сертификации распространяют информацию на своих официальных сайтах, что EV SSL сертификаты престижные и уникальные[34], у них зеленная адресная строка, однако все ЦС молчат о главном недостатке EV SSL[35], а именно о том, что зеленная адресная строка появляется только в десктопных версиях браузеров. Телефоны, устройства Андроид, планшеты и КПК — не отображают зеленную адресную строку, так как реализация поддержки EV усложняет работу приложения для телефона и поднимает большую нагрузку на процессор. Ниже представлены примеры сайта с EV SSL сертификатом в КПК, Андроид и Apple iOS.[36]
50 % пользователей интернета чаще всего воспользуются мобильными устройствами, планшетами, КПК и другими устройствами на базе Android, IOS и других мобильных операционных систем. Причем версия браузеров не имеет значение, в иллюстрации на примере выше, браузеры обновлены до последней версии и оснащены поддержкой TLS v1.3 официально вышедший в 2018 году как новая версия TLS со статусом 'Стабильная версия'. Несмотря на такой недостаток, EV SSL сертификат вызывает высокий уровень безопасности и доверия в мобильных устройствах ровно так же, как и для компьютеров и десктопных ПК, таких как ноутбуки, нетбуки и планшеты с операционной системой семейства Windows.[37]
История[править]
В 2005 году Мелих Абдулхайоглу, генеральный директор Comodo Group, созвал первое собрание организации, которое стало форумом CA/Browser Forum, в надежде улучшить стандарты выдачи сертификатов SSL/TLS. 12 июня 2007 г. CA/Browser Forum официально утвердил первую версию SSL с расширенной проверкой выдачи Extended Validation (EV), новое предложение SSL сертификата и его новый стандарт вступили в силу немедленно. Официальное одобрение успешно завершилось после двух лет усилий компании и предоставило инфраструктуру для надежной идентификации веб-сайта в Интернете. Затем, в апреле 2008 года, форум объявил версию 1.1 EV SSL Сертификат, основываясь на практическом опыте своих центров сертификации и поставщиков программного обеспечения, полученных в течение нескольких месяцев с момента утверждения первой версии для использования.[38]
Мотивация[править]
Важной мотивацией использования цифровых сертификатов с SSL/TLS было добавление доверия к онлайн-транзакциям, требуя от операторов веб-сайтов пройти проверку с помощью удостоверяющего центра сертификации (CA), чтобы получить сертификат.
Однако коммерческое давление привело к тому, что некоторые центры сертификации представили «сертификаты, подтвержденные доменом». Сертификаты доменного уровня, существовали до стандартов валидации EV, и обычно требуют только некоторое подтверждение контроля домена. В частности, сертификаты, подтвержденные доменом (DV), не утверждают, что данный юридический субъект имеет какие-либо отношения с доменом, хотя домен может напоминать конкретное юридическое лицо.
В прошлом большинство пользовательских интерфейсов браузеров четко не различали сертификаты с низкой степенью достоверности и те, которые подверглись более тщательной проверке. Поскольку любое успешное соединение SSL/TLS протокола, приведет к появлению зелёного значка замка в большинстве популярных браузеров. В таком случае, для большинства пользователей не совсем понятно, проверен владелец веб-сайта или нет. В результате интернет-мошенники (фишинг-сайты и тд), могут использовать TLS, чтобы добавить воспринимаемую достоверность на свои сайты. Пользователи современных браузеров всегда могут проверять личность владельцев сертификатов, изучая детали выданного сертификата, который всегда указывает информацию о владельце сертификата, такую как название организации и её местоположение.
Сертификаты EV проверяются как с базовыми требованиями, так и с требованиями расширенной проверки, которые устанавливают дополнительные требования к тому, как власти доверяют компании. К ним относятся ручная проверка всех доменных имен, запрашиваемых заявителем, проверка официальных источников правительства, проверка независимых источников информации и телефонные звонки в компанию для подтверждения позиции заявителя. Если сертификат принят, зарегистрированный государством серийный номер бизнеса, а также физический адрес хранятся в сертификате EV валидации.[39][40][41]
См. также[править]
Примечания[править]
- ↑ Comodo Group EV SSL. Comodo Marketing (15/04/15).
- ↑ GlobalSign CA What is an Extended Validation Certificate?. GlobalSign NEWS (15.07.2015).
- ↑ Цифровые SSL сертификаты. Разновидности, как выбрать? (рус.). Проверено 9 августа 2018.
- ↑ Типы SSL-сертификатов и чем они отличаются | Блог SSL.com.ua (рус.), Блог SSL.com.ua (22 июня 2018 года). Проверено 9 августа 2018.
- ↑ Ssl с зеленой строкой, какой? (рус.). «Тостер» — вопросы и ответы. Проверено 9 августа 2018.
- ↑ CAB FORUM The EV SSL Certificate and its Contents. База знаний SSLCOM UA.
- ↑ INSTANTSSL - COMODO EV SSL Certificate Validation Process. Comodo Group (2007 г.).
- ↑ LEADERSSL Разница между OV и EV SSL-сертификатами. LSSLRU.
- ↑ Андрей @OLS С зеленой строкой - EV (Extended Validation) (фирму проверяют со всех сторон, в т.ч. требуют переведенную выписку из ЕГРЮЛ).. OLS (2016 г.).
- ↑ DigiCert Enabling the Green Address Bar.
- ↑ Google Groups. groups.google.com. Проверено 7 января 2019.
- ↑ Comodo Extended Validation (EV) Code Signing Certificate. Comodo Group, inc.
- ↑ Андрей @OLS Как выпустить самоподписанный Extended сертификат?. Андрей @OLS.
- ↑ SSL Basics: What is a Certificate Signing Request (CSR)? (англ.). www.globalsign.com. Проверено 9 августа 2018.
- ↑ Требования к организации получающей SSL - сертификат - База знаний - Siteko Ltd. (англ.). www.siteko.net. Проверено 9 августа 2018.
- ↑ How Your Company Name Will Appear in the EV Bar - The SSL Store (англ.), Knowledge Base. Проверено 9 августа 2018.
- ↑ EV Certificate Validation Checklist - Powered by Kayako Help Desk Software. support.comodo.com. Проверено 9 августа 2018.
- ↑ How to Do Telephone/Phone Verification For EV SSL Certificates (англ.). www.thesslstore.com. Проверено 9 августа 2018.
- ↑ Extended Validation Certificate FAQ (англ.). www.digicert.com. Проверено 9 августа 2018.
- ↑ Knowledge Base Detail (англ.). www.entrustdatacard.com. Проверено 9 августа 2018.
- ↑ CertCentral Change Log | DigiCert.com (англ.). www.digicert.com. Проверено 9 августа 2018.
- ↑ SSL证书_HTTPS加密_SSL数字证书 - 沃通CA【官网】. wosign.com. Проверено 9 августа 2018.
- ↑ Browsers' compatibility with SHA256 SSL certificates (англ.). www.tbs-certificates.co.uk. Проверено 9 августа 2018.
- ↑ SSL сертификаты для .idn - Веб-сайт .idn с SSL сертификатом | 101Домен (рус.). www.101domain.ru. Проверено 9 августа 2018.
- ↑ Improving SSL: Extended Validation (EV) SSL Certificates Coming in January (англ.), IEBlog. Проверено 9 августа 2018.
- ↑ Server Gated Cryptography (SGC) - Enables 256 Bit SSL (англ.). Trustico® United States. Проверено 9 августа 2018.
- ↑ Server-Gated Cryptography The illusion of security.
- ↑ 12 альтернативных браузеров, о которых почти никто не знает - ITC.ua (рус.), ITC.ua. Проверено 9 августа 2018.
- ↑ Comodo Group Deprecation of Comodo SGC certificates.
- ↑ Why can’t I get a Wildcard Extended Validation (EV) SSL Certificate? (англ.). www.networksolutions.com. Проверено 9 августа 2018.
- ↑ Can A Wildcard Certificate Be Issued With EV? (англ.), SSL.com. Проверено 9 августа 2018.
- ↑ Why can't I get a wildcard EV certificate?. Проверено 9 августа 2018.
- ↑ Green Bar Extended Validation (EV) Multi Domain SSL Certificate | Entrust Datacard (англ.). www.entrustdatacard.com. Проверено 9 августа 2018.
- ↑ Купить EV (Extended Validation) SSL сертификаты Comodo | ЛидерТелеком. www.instantssl.su. Проверено 9 августа 2018.
- ↑ Why isn't my Site's padlock green or doesn't have green address bar ? (англ.). ssl.comodo.com. Проверено 9 августа 2018.
- ↑ What does the green address bar indicate? (англ.). OpenSRS Help & Support. Проверено 9 августа 2018.
- ↑ When To Use Extended Validation (EV) SSL Certificates | DigiCert.com (англ.). www.digicert.com. Проверено 9 августа 2018.
- ↑ How Can We Improve Code Signing? (англ.), eWEEK. Проверено 4 августа 2018.
- ↑ William Hendric What is an EV SSL certificate?.
- ↑ Hagai Bar-El The Inevitable Collapse of the Certificate Model. Hagai Bar-El on Security.
- ↑ VASCO (September 20, 2011). VASCO Announces Bankruptcy Filing by DigiNotar B.V.. Пресс-релиз. Архивировано из первоисточника 23 сентября 2011. Проверено September 20, 2011.