EV SSL сертификат

Материал из Циклопедии
Перейти к навигации Перейти к поиску

EV SSL сертификат[1] (Extended Validation Certificate) — сертификат SSL[2][3]. Сертификат предназначен для веб-сайтов, позволяет настроить протокол HTTPS. Этот тип сертификата доказывает, что сайт принадлежит существующему юридическому лицу (организации, компании, или корпорации)[4][5].

Получение данного сертификата требует расширенной проверки подлинности центром сертификации[6]. Проверяются документы о регистрации[7], налоговая документация, сотрудники службы поддержки, телефон, владение доменом и род деятельности компании. Физические лица, индивидуальные предприниматели и другие предприниматели не могут получить сертификат данного типа[8].

В браузерах при установленном на сайте EV SSL сертификате ранее отображалась специальная зеленная адресная строка[9][10], с названием организации, для которой был выпущен EV SSL сертификат. В данный момент в браузере Google Chrome отображается серая строка с названием компании.[11]

EV SSL сертификат так же можно запустить для программного обеспечения под разными дистрибутивами. Проверенная юридическая идентификация отображается операционной системой перед продолжением установки программы. Сертификат поддерживается в Microsoft Windows, Linux, SunOS, MacOS[12].

EV SSL сертификаты работают по тем же протоколам, что и SSL сертификаты более низкого уровня OV и DV. Отличается принцип выдачи. EV сертификаты имеют специальную сигнатуру (OID), которую распознают браузеры, что и добавляет название компании в случае обнаружения подписи определенного центра сертификации. В случае появления новых центров сертификации, разработчики браузеров должны внедрить в исходный код браузера SHA2 хеш нового удостоверяющего центра сертификации и EV OID этого центра. После обновления браузера, пользователь увидит название компании. Также данный центр сертификации должен быть заранее внедрен в оснастку известных операционных систем. Созданный центр сертификации должен пройти проверку требований безопасности у всех разработчиков. Далее необходимо произвести оплату за внедрение сертификата в список доверенных удостоверяющих центров сертификации. Например, Google требует 500 тысяч долларов за внедрение в его ПО SSL сертификата. Mozilla 150 тысяч долларов, а Microsoft 1 200 000 долларов за 20 лет.

Невозможно создать самоподписанный EV сертификат (SELF-SIGNED)[13].

Поддержка[править]

EV Сертификат поддерживает прием CSR (Certificate Signing Request)[14] — запрос на выпуск сертификата, с данными, введенными на кириллице. Эти данные: адрес компании, город, название офиса, имя и фамилия представителя компании, Причем нужно учитывать, что если компания российская и зарегистрирована в России, то нельзя получить сертификат соответствия в виде имени компании, например на японском языке, или на любом другом языке, за исключением английского языка,[15] пока компания не предоставит доказательство, что зарегистрирована имя компании и на необходимом языке тоже[16]. В таком случае, нужно предоставить документ о регистрации названия компании на данном языке,[17] но проверочный телефон должен быть отличным от того номера телефона, что используется для компании зарегистрированного в России в виде русской версии языка[18]. Также, если компания имеет филиал в США, но официально зарегистрирована как юридическое лицо только в России, то в качестве адреса компании в сертификате, владелец компании имеет право использовать только тот адрес, где была официально зарегистрирована компания.[19]

EV сертификат также поддерживает русский язык.[20] Это означает, что в зеленной адресной строке можно получить имя компании не только в виде английской версии, но и в виде своего родного языка[21]. Доменное имя, зона не имеют значение. EV сертификат для российской компании можно получить как на RU, SU, UA, так и для международных и иностранных доменных имен второго уровня, таких как .COM, .US, .FR, .ORG, .NET и т.д.

EV SSL сертификаты поддерживают не только русский язык, но и всю кириллицу, это означает, что иностранные компании, например китайские, японские — тоже могут использовать свой родной язык. Поддержка кириллицы не означает, что в качестве имени компании можно использовать и разные спец. символы кодировки UTF, UNICODE, за исключением случая, если название компании было зарегистрировано со спец. знаком.[нет источника] На иллюстрации представлен пример EV сертификата на китайском удостоверяющем центре сертификации WoTrust (ранее WoSign)[22].

Но крайне рекомендуется использовать английский язык,[нет источника] так как не всем пользователям будет понятно, что именно написано, а старые браузеры, не поддерживающие кириллицу, отобразят иероглифы вместо имени компании, либо вообще зеленная адресная строка исчезнет, и сертификат будет выглядеть как OV SSL, вместо EV. Однако, сертификаты на языке кириллицы поддерживаются всеми современными браузерами и операционными системами, за исключением SunOS и IOS.[23]

Пример сайта с EV SSL сертификатом, домене кириллический. В данный момент зеленая адресная строка убрана из некоторых браузеров.

EV Сертификаты поддерживают так же IDN (Internationalized Domain Names) формат (интернациональные доменные имена) — это те доменные имена, где домен вернего уровня отличаются от латинского регистра (англ. языка). Такие доменные имена верховного уровня являются например зоны: РФ, .الجزائر. .中国, .இந்தியா, .укр, .台灣 и другие. Причем, необязательно, чтобы название компании для IDN была на кириллице, можно смело использовать в CSR имя компании на латинице. Это не вызовет конфликты при выдаче сертификата с расширенной проверкой выдачи.[24]

EV сертификаты со стандартными настройками поддерживаются с 2006 года в Internet Explorer, Google Chrome, Mozilla Firefox[25] — однако были продукты в виде EV SSL SGC (Server Gated Cryptography)[26], которые позволяли преобразовать старое 40 — 56 битное шифрование в надежное 256-битное шифрование (SHA2)[27] для старых браузеров[28]. Однако сегодня количество пользователей старых браузеров практически равно нулю, в результате чего удостоверяющий центр сертификации Comodo принял решение остановить выпуск SGC SSL-сертификатов.[29]

Ещё одно значительное отличие EV SSL сертификата это то, что сертификаты с расширенной проверкой выдачи не выпускаются для всех поддоменов доменного имени компании.[30] Это означает, что EV Wildcard-сертификаты не существуют.[31] Причиной тому является невозможность контроля контента всех доменных имен третьего уровня компании. В реальности были случаи, когда сайты конструкторы устанавливали общий EV wildcard сертификат, а поддомены хостились на сайты клиентов, привлекая все больше клиентов для компании с доменным именем, оснащенным сертификатом EV уровня, однако контент данных веб сайтов не имел ничего общего с компанией, чья действительность проверялась удостоверяющим центром сертификации CA. Был принят всеобщий закон запрещающий CA подписывать EV сертификаты для всех поддоменов TLD и вторичного домена.[32]

Однако, пользователи всё еще имеют возможность выпустить EV сертификаты для поддоменов, но при этом это обходится слишком дорого, так как нужно купить EV сертификат мультидоменного уровня (Multi-Domain EV SSL Certificate).[33]

Удостоверяющие центры сертификации распространяют информацию на своих официальных сайтах, что EV SSL сертификаты престижные и уникальные[34], у них зеленная адресная строка, однако все ЦС молчат о главном недостатке EV SSL[35], а именно о том, что зеленная адресная строка появляется только в десктопных версиях браузеров. Телефоны, устройства Андроид, планшеты и КПК — не отображают зеленную адресную строку, так как реализация поддержки EV усложняет работу приложения для телефона и поднимает большую нагрузку на процессор. Ниже представлены примеры сайта с EV SSL сертификатом в КПК, Андроид и Apple iOS.[36]

50 % пользователей интернета чаще всего воспользуются мобильными устройствами, планшетами, КПК и другими устройствами на базе Android, IOS и других мобильных операционных систем. Причем версия браузеров не имеет значение, в иллюстрации на примере выше, браузеры обновлены до последней версии и оснащены поддержкой TLS v1.3 официально вышедший в 2018 году как новая версия TLS со статусом 'Стабильная версия'. Несмотря на такой недостаток, EV SSL сертификат вызывает высокий уровень безопасности и доверия в мобильных устройствах ровно так же, как и для компьютеров и десктопных ПК, таких как ноутбуки, нетбуки и планшеты с операционной системой семейства Windows.[37]

История[править]

В 2005 году Мелих Абдулхайоглу, генеральный директор Comodo Group, созвал первое собрание организации, которое стало форумом CA/Browser Forum, в надежде улучшить стандарты выдачи сертификатов SSL/TLS. 12 июня 2007 г. CA/Browser Forum официально утвердил первую версию SSL с расширенной проверкой выдачи Extended Validation (EV), новое предложение SSL сертификата и его новый стандарт вступили в силу немедленно. Официальное одобрение успешно завершилось после двух лет усилий компании и предоставило инфраструктуру для надежной идентификации веб-сайта в Интернете. Затем, в апреле 2008 года, форум объявил версию 1.1 EV SSL Сертификат, основываясь на практическом опыте своих центров сертификации и поставщиков программного обеспечения, полученных в течение нескольких месяцев с момента утверждения первой версии для использования.[38]

Мотивация[править]

Важной мотивацией использования цифровых сертификатов с SSL/TLS было добавление доверия к онлайн-транзакциям, требуя от операторов веб-сайтов пройти проверку с помощью удостоверяющего центра сертификации (CA), чтобы получить сертификат.

Однако коммерческое давление привело к тому, что некоторые центры сертификации представили «сертификаты, подтвержденные доменом». Сертификаты доменного уровня, существовали до стандартов валидации EV, и обычно требуют только некоторое подтверждение контроля домена. В частности, сертификаты, подтвержденные доменом (DV), не утверждают, что данный юридический субъект имеет какие-либо отношения с доменом, хотя домен может напоминать конкретное юридическое лицо.

В прошлом большинство пользовательских интерфейсов браузеров четко не различали сертификаты с низкой степенью достоверности и те, которые подверглись более тщательной проверке. Поскольку любое успешное соединение SSL/TLS протокола, приведет к появлению зелёного значка замка в большинстве популярных браузеров. В таком случае, для большинства пользователей не совсем понятно, проверен владелец веб-сайта или нет. В результате интернет-мошенники (фишинг-сайты и тд), могут использовать TLS, чтобы добавить воспринимаемую достоверность на свои сайты. Пользователи современных браузеров всегда могут проверять личность владельцев сертификатов, изучая детали выданного сертификата, который всегда указывает информацию о владельце сертификата, такую как название организации и её местоположение.

Сертификаты EV проверяются как с базовыми требованиями, так и с требованиями расширенной проверки, которые устанавливают дополнительные требования к тому, как власти доверяют компании. К ним относятся ручная проверка всех доменных имен, запрашиваемых заявителем, проверка официальных источников правительства, проверка независимых источников информации и телефонные звонки в компанию для подтверждения позиции заявителя. Если сертификат принят, зарегистрированный государством серийный номер бизнеса, а также физический адрес хранятся в сертификате EV валидации.[39][40][41]

См. также[править]

Примечания[править]

  1. Comodo Group EV SSL. Comodo Marketing (15/04/15).
  2. GlobalSign CA What is an Extended Validation Certificate?. GlobalSign NEWS (15.07.2015).
  3. Цифровые SSL сертификаты. Разновидности, как выбрать? (рус.). Проверено 9 августа 2018.
  4. Типы SSL-сертификатов и чем они отличаются | Блог SSL.com.ua (рус.), Блог SSL.com.ua (22 июня 2018 года). Проверено 9 августа 2018.
  5. Ssl с зеленой строкой, какой? (рус.). «Тостер» — вопросы и ответы. Проверено 9 августа 2018.
  6. CAB FORUM The EV SSL Certificate and its Contents. База знаний SSLCOM UA.
  7. INSTANTSSL - COMODO EV SSL Certificate Validation Process. Comodo Group (2007 г.).
  8. LEADERSSL Разница между OV и EV SSL-сертификатами. LSSLRU.
  9. Андрей @OLS С зеленой строкой - EV (Extended Validation) (фирму проверяют со всех сторон, в т.ч. требуют переведенную выписку из ЕГРЮЛ).. OLS (2016 г.).
  10. DigiCert Enabling the Green Address Bar.
  11. Google Groups. groups.google.com. Проверено 7 января 2019.
  12. Comodo Extended Validation (EV) Code Signing Certificate. Comodo Group, inc.
  13. Андрей @OLS Как выпустить самоподписанный Extended сертификат?. Андрей @OLS.
  14. SSL Basics: What is a Certificate Signing Request (CSR)? (англ.). www.globalsign.com. Проверено 9 августа 2018.
  15. Требования к организации получающей SSL - сертификат - База знаний - Siteko Ltd. (англ.). www.siteko.net. Проверено 9 августа 2018.
  16. How Your Company Name Will Appear in the EV Bar - The SSL Store (англ.), Knowledge Base. Проверено 9 августа 2018.
  17. EV Certificate Validation Checklist - Powered by Kayako Help Desk Software. support.comodo.com. Проверено 9 августа 2018.
  18. How to Do Telephone/Phone Verification For EV SSL Certificates (англ.). www.thesslstore.com. Проверено 9 августа 2018.
  19. Extended Validation Certificate FAQ (англ.). www.digicert.com. Проверено 9 августа 2018.
  20. Knowledge Base Detail (англ.). www.entrustdatacard.com. Проверено 9 августа 2018.
  21. CertCentral Change Log | DigiCert.com (англ.). www.digicert.com. Проверено 9 августа 2018.
  22. SSL证书_HTTPS加密_SSL数字证书 - 沃通CA【官网】. wosign.com. Проверено 9 августа 2018.
  23. Browsers' compatibility with SHA256 SSL certificates (англ.). www.tbs-certificates.co.uk. Проверено 9 августа 2018.
  24. SSL сертификаты для .idn - Веб-сайт .idn с SSL сертификатом | 101Домен (рус.). www.101domain.ru. Проверено 9 августа 2018.
  25. Improving SSL: Extended Validation (EV) SSL Certificates Coming in January (англ.), IEBlog. Проверено 9 августа 2018.
  26. Server Gated Cryptography (SGC) - Enables 256 Bit SSL (англ.). Trustico® United States. Проверено 9 августа 2018.
  27. Server-Gated Cryptography The illusion of security.
  28. 12 альтернативных браузеров, о которых почти никто не знает - ITC.ua (рус.), ITC.ua. Проверено 9 августа 2018.
  29. Comodo Group Deprecation of Comodo SGC certificates.
  30. Why can’t I get a Wildcard Extended Validation (EV) SSL Certificate? (англ.). www.networksolutions.com. Проверено 9 августа 2018.
  31. Can A Wildcard Certificate Be Issued With EV? (англ.), SSL.com. Проверено 9 августа 2018.
  32. Why can't I get a wildcard EV certificate?. Проверено 9 августа 2018.
  33. Green Bar Extended Validation (EV) Multi Domain SSL Certificate | Entrust Datacard (англ.). www.entrustdatacard.com. Проверено 9 августа 2018.
  34. Купить EV (Extended Validation) SSL сертификаты Comodo | ЛидерТелеком. www.instantssl.su. Проверено 9 августа 2018.
  35. Why isn't my Site's padlock green or doesn't have green address bar ? (англ.). ssl.comodo.com. Проверено 9 августа 2018.
  36. What does the green address bar indicate? (англ.). OpenSRS Help & Support. Проверено 9 августа 2018.
  37. When To Use Extended Validation (EV) SSL Certificates | DigiCert.com (англ.). www.digicert.com. Проверено 9 августа 2018.
  38. How Can We Improve Code Signing? (англ.), eWEEK. Проверено 4 августа 2018.
  39. William Hendric What is an EV SSL certificate?.
  40. Hagai Bar-El The Inevitable Collapse of the Certificate Model. Hagai Bar-El on Security.
  41. VASCO (September 20, 2011). VASCO Announces Bankruptcy Filing by DigiNotar B.V.. Пресс-релиз. Архивировано из первоисточника 23 сентября 2011. Проверено September 20, 2011.

Ссылки[править]

Источник — http://cyclowiki.org/w/index.php?title=EV_SSL_сертификат&oldid=981004