SSL-сертификаты с расширенной валидацией

EV SSL-сертификат - сертификат, используемый для настройки поддержки HTTPS на сайте. Чтобы получить EV-сертификат, необходимо подтвердить существование компании, на имя которой выдается сертификат, в центре сертификации. Браузеры отображают информацию о существовании компании либо перед доменным именем сайта.

EV-сертификаты используют те же методы защиты, что и DV- и OV-сертификаты: более высокий уровень защиты обеспечивается за счет необходимости подтверждения существования компании в сертификационном центре. Критерии выдачи EV-сертификатов определяются специальным документом: Guidelines for Extended Validation, в настоящее время (по состоянию на 1 августа 2019 года) версия этого документа - 1.7.0. Руководство было разработано CA / Browser Forum, организацией, членами которой являются сертификационные центры и поставщики программного обеспечения для Интернета, а также представители юридических и аудиторских профессий.

• 1

  История

  В 2005 году генеральный директор Comodo Group Мелих Абдулхайоглу созвал первую встречу организации, которая впоследствии стала CA / Browser Forum. Целью встречи было совершенствование стандартов выдачи сертификатов SSL / TLS. 12 июня 2007 года CA / Browser Forum официально утвердил первую версию руководства по расширенной проверке, и документ сразу же вступил в силу. Официальное утверждение завершило создание инфраструктуры для идентификации доверенных сайтов в Интернете. Затем, в апреле 2008 года, CA/Browser Forum объявил о выпуске новой версии Руководства (1.1). Новая версия была основана на опыте сертификационных центров и производителей программного обеспечения.

  Мотивация для получения сертификата

  Важным мотивом для использования цифровых сертификатов с SSL / TLS является повышение доверия к онлайн-транзакциям. Для получения сертификата операторы веб-сайтов должны пройти проверку. Однако коммерческое давление побудило некоторые сертификационные центры ввести сертификаты более низкого уровня (сертификаты проверки домена). Сертификаты проверки домена существовали и до расширенной проверки, и, как правило, для их получения требуется лишь подтверждение контроля над доменом. В частности, сертификаты проверки домена не утверждают, что данное юридическое лицо имеет какое-либо отношение к домену, хотя на сайте может быть написано, что он принадлежит юридическому лицу.

  Поначалу пользовательские интерфейсы большинства браузеров не различали сертификаты с подтверждением домена и сертификаты с расширенной проверкой. Поскольку при любом успешном SSL/TLS-соединении в большинстве браузеров появлялся зеленый значок замка, пользователи вряд ли могли понять, подтвержден ли сайт с расширенной проверкой или нет (с января 2019 года Chrome убрал зеленые значки в браузере). В результате мошенники (в том числе занимающиеся фишингом) могли использовать TLS для повышения доверия к своим сайтам. Пользователи более поздних браузеров всегда могут проверить личность владельцев сертификатов, изучив указанную в них информацию о выданном сертификате (в том числе название организации и ее адрес).

  Сертификаты EV проверяются на соответствие как базовым, так и расширенным требованиям. Требуется ручная проверка доменных имен, запрашиваемых заявителем, проверка по официальным государственным источникам, проверка по независимым источникам информации, а также телефонные звонки в компанию. Если сертификат был выдан, в нем хранится серийный номер компании, зарегистрированной центром сертификации, а также физический адрес.

  EV-сертификаты призваны повысить уверенность пользователей в том, что оператор сайта является реально существующей организацией. Тем не менее, все еще существует опасение, что тот же недостаток ответственности, который привел к потере общественного доверия к DV-сертификатам, приведет к потере ценности EV-сертификатов.

• 2

  Критерии доставки

  Только центры сертификации, прошедшие независимый квалифицированный аудит, могут предлагать сертификаты EV, и все центры должны следовать требованиям к выпуску, которые направлены на:

  Установление существования юридического лица и владельца сайта;

  Установление факта, что юридическое лицо действительно владеет этим доменом;

  Подтверждение личности владельца участка и полномочий лиц, действующих от имени владельца участка.

  За исключением EV-сертификатов для доменов .onion, получить сертификат с расширенной проверкой невозможно - вместо этого все полнозначные доменные имена должны быть включены в сертификат и проверены центром сертификации.

• 3

  Пользовательский интерфейс

  Браузеры с поддержкой EV показывают доступность сертификата - обычно это комбинация названия организации и ее местоположения. Браузеры Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera и Google Chrome поддерживают EV.

  Правила расширенной проверки требуют от участвующих центров сертификации присвоения определенного EV-идентификатора после того, как центр сертификации завершил независимый аудит и были соблюдены другие критерии. Браузеры запоминают этот идентификатор и сопоставляют EV-идентификатор в сертификате с идентификатором в браузере для данного центра сертификации: если они совпадают, сертификат признается действительным. Во многих браузерах EV-сертификат сигнализируется следующим образом:

  Название компании или организации, которой принадлежит сертификат.

  Отличительный цвет, обычно зеленый, отображаемый в адресной строке, который указывает на то, что сертификат был получен в формате HTTPS.

  Символ "замок" также находится в адресной строке. Нажав на "замок", вы можете получить дополнительную информацию о сертификате, включая имя центра сертификации, выдавшего EV-сертификат.

• 4

  Обновление! 09.29.2019

  Версия Google Chrome 77 вышла для пользователей Windows, Linux, macOS, ChromeOS, IOS и Android. В новом выпуске из адресной строки браузера убран индикатор пользовательского интерфейса для сертификатов расширенной проверки (Extended Validation, EV), который также известен как "зеленая адресная строка".