Erweitertes Validierungszertifikat - Extended Validation Certificate
Ein Extended Validation Certificate ( EV ) ist ein X.509- konformes Zertifikat, das die juristische Person des Eigentümers nachweist und von einem Zertifizierungsstellenschlüssel signiert ist, der EV-Zertifikate ausstellen kann. EV-Zertifikate können wie alle anderen X.509-Zertifikate verwendet werden, einschließlich der Sicherung der Webkommunikation mit HTTPS und des Signierens von Software und Dokumenten. Im Gegensatz zu domänenvalidierten Zertifikaten und Organisationsvalidierungszertifikaten können EV-Zertifikate nur von einer Teilmenge von Zertifizierungsstellen (CAs) ausgestellt werden und erfordern eine Überprüfung der rechtlichen Identität der anfordernden Stelle vor der Ausstellung des Zertifikats.
Ab Februar 2021 verfügen alle gängigen Webbrowser (Google Chrome, Mozilla Firefox, Microsoft Edge und Apple Safari) über Menüs, die den EV-Status des Zertifikats und die verifizierte rechtliche Identität von EV-Zertifikaten anzeigen. Mobile Browser zeigen EV-Zertifikate normalerweise auf die gleiche Weise an wie Domain Validation (DV) und Organization Validation (OV) Zertifikate. Von den zehn beliebtesten Websites im Internet verwendet keine EV-Zertifikate und der Trend geht weg von deren Verwendung.
Bei Software wird dem Benutzer die verifizierte rechtliche Identität vom Betriebssystem (zB Microsoft Windows) angezeigt, bevor mit der Installation fortgefahren wird.
Extended Validation-Zertifikate werden in einem Dateiformat gespeichert, das von der Organisation und in der Regel mit der gleichen Verschlüsselung wie von der Organisation validierte Zertifikate und domänenvalidierte Zertifikate angegeben wird, und verwenden in der Regel dieselbe Verschlüsselung , sodass sie mit den meisten Server- und Benutzeragenten-Software kompatibel sind.
Die Kriterien für die Ausstellung von EV-Zertifikaten werden durch die vom CA/Browser Forum erstellten Guidelines for Extended Validation definiert .
Um ein erweitertes Validierungszertifikat auszustellen, erfordert eine CA die Überprüfung der Identität der anfordernden Entität und ihres Betriebsstatus mit ihrer Kontrolle über den Domänennamen und den Hosting-Server.
Geschichte
Einführung durch das CA/Browser-Forum
2005 berief Melih Abdulhayoglu , CEO der Comodo Group , das erste Treffen der Organisation ein, die zum CA/Browser Forum wurde , in der Hoffnung, die Standards für die Ausstellung von SSL/TLS-Zertifikaten zu verbessern. Am 12. Juni 2007 ratifizierte das CA/Browser Forum offiziell die erste Version der Extended Validation (EV) SSL Guidelines, die sofort in Kraft trat. Die formelle Genehmigung hat die mehr als zweijährigen Bemühungen erfolgreich abgeschlossen und die Infrastruktur für eine vertrauenswürdige Website-Identität im Internet geschaffen. Dann, im April 2008, kündigte das Forum die Version 1.1 der Richtlinien an, aufbauend auf den praktischen Erfahrungen seiner Mitglieds-CAs und vertrauenden Anbieter von Anwendungssoftware, die in den Monaten seit der Freigabe der ersten Version zur Verwendung gesammelt wurden.
Erstellung spezieller UI-Indikatoren in Browsern
Die meisten großen Browser erstellten kurz nach der Erstellung des Standards spezielle Benutzeroberflächenindikatoren für Seiten, die über HTTPS geladen wurden und durch ein EV-Zertifikat gesichert waren. Dazu gehören Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. Darüber hinaus haben einige mobile Browser, darunter Safari für iOS, Windows Phone, Firefox für Android, Chrome für Android und iOS, solche UI-Indikatoren hinzugefügt. Normalerweise zeigen Browser mit EV-Unterstützung die validierte Identität an – normalerweise eine Kombination aus Organisationsname und Gerichtsbarkeit – die im Feld „Betreff“ des EV-Zertifikats enthalten ist.
In den meisten Implementierungen umfasst die verbesserte Anzeige:
- Der Name der Firma oder Entität, die das Zertifikat besitzt;
- Ein Schlosssymbol, ebenfalls in der Adressleiste, das je nach Sicherheitsstatus der Website farblich variiert.
Durch Klicken auf das Schlosssymbol erhält der Benutzer weitere Informationen zum Zertifikat, einschließlich des Namens der Zertifizierungsstelle, die das EV-Zertifikat ausgestellt hat.
Entfernung von speziellen UI-Indikatoren
Im Mai 2018 kündigte Google Pläne an, die Benutzeroberflächen von Google Chrome neu zu gestalten, um den Schwerpunkt auf EV-Zertifikate zu entfernen. Chrome 77, veröffentlicht im Jahr 2019, hat die EV-Zertifikatsanzeige aus Omnibox entfernt, aber der EV-Zertifikatsstatus kann angezeigt werden, indem Sie auf das Schlosssymbol klicken und dann unter "Zertifikat" nach dem Namen der juristischen Person suchen. Firefox 70 hat die Unterscheidung in der Omnibox- oder URL-Leiste entfernt (EV- und DV-Zertifikate werden ähnlich nur mit einem Schlosssymbol angezeigt), aber die Details zum Zertifikats-EV-Status sind in der detaillierteren Ansicht zugänglich, die sich nach einem Klick auf das Schlosssymbol öffnet.
Apple Safari auf iOS 12 und MacOS Mojave (veröffentlicht im September 2018) hat die visuelle Unterscheidung des EV-Status entfernt.
Vergabekriterien
Nur CAs, die eine unabhängige qualifizierte Auditprüfung bestehen, dürfen EV anbieten, und alle CAs weltweit müssen dieselben detaillierten Ausstellungsanforderungen erfüllen, die darauf abzielen:
- Feststellung der rechtlichen Identität sowie der operativen und physischen Präsenz des Website-Inhabers;
- Stellen Sie fest, dass der Antragsteller der Eigentümer des Domainnamens ist oder die ausschließliche Kontrolle über den Domainnamen hat;
- Bestätigen Sie die Identität und Autorität der Personen, die für den Website-Eigentümer handeln, und dass Dokumente im Zusammenhang mit rechtlichen Verpflichtungen von einem bevollmächtigten Beamten unterzeichnet sind;
- Begrenzen Sie die Gültigkeitsdauer des Zertifikats, um sicherzustellen, dass die Zertifikatsinformationen aktuell sind. CA/B Forum begrenzt außerdem die maximale Wiederverwendung von Domain-Validierungsdaten und Organisationsdaten ab März 2020 auf maximal 397 Tage (darf 398 Tage nicht überschreiten).
Mit Ausnahme von Extended-Validation-Zertifikaten für .onion- Domains ist es ansonsten nicht möglich, ein Wildcard- Extended-Validation-Zertifikat zu erhalten – stattdessen müssen alle vollqualifizierten Domainnamen in das Zertifikat aufgenommen und von der Zertifizierungsstelle geprüft werden.
Zertifikatsidentifikation mit erweiterter Validierung
EV-Zertifikate sind standardmäßige digitale X.509-Zertifikate. Die primäre Möglichkeit, ein EV-Zertifikat zu identifizieren, besteht darin, auf das Erweiterungsfeld Certificate Policies zu verweisen. Jeder Aussteller verwendet in diesem Feld einen anderen Object Identifier (OID), um seine EV-Zertifikate zu identifizieren, und jede OID ist im Certification Practice Statement des Ausstellers dokumentiert. Wie bei Stammzertifizierungsstellen im Allgemeinen erkennen Browser möglicherweise nicht alle Aussteller.
EV-HTTPS-Zertifikate enthalten einen Betreff mit X.509-OIDs für jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.311.60.2.1.3), jurisdictionOfIncorporationStateOrProvinceName(OID: 1.3.6.1.4.1.311.60.2.1.2) (optional), jurisdictionLocalityName(OID: 1.3.6.1.4.1.311.60.2.1.1) (optional), businessCategory(OID: 2.5.4.15) und serialNumber(OID: 2.5.4.5), mit dem serialNumberHinweis auf die ID beim zuständigen Außenminister (US) oder Regierungsgeschäft Registrar (außerhalb der USA) sowie eine CA-spezifische Richtlinienkennung, damit EV-fähige Software wie ein Webbrowser sie erkennen kann. Diese Kennung definiert das EV-Zertifikat und ist der Unterschied zum OV-Zertifikat.
Protokoll zum Online-Zertifikatsstatus
Die Kriterien für die Ausstellung von Extended Validation-Zertifikaten erfordern nicht, dass ausstellende Zertifizierungsstellen sofort das Online Certificate Status Protocol für die Sperrprüfung unterstützen. Die Forderung nach einer zeitnahen Reaktion auf Sperrprüfungen durch den Browser hat jedoch die meisten Zertifizierungsstellen, die dies bisher nicht getan hatten, dazu veranlasst, OCSP-Unterstützung zu implementieren. Gemäß Abschnitt 26-A der Ausstellungskriterien müssen Zertifizierungsstellen die OCSP-Prüfung für alle nach dem 31. Dezember 2010 ausgestellten Zertifikate unterstützen.
Kritik
Kollidierende Entitätsnamen
Die Namen der juristischen Person sind nicht eindeutig, daher könnte ein Angreifer, der sich als eine juristische Person ausgeben möchte, ein anderes Unternehmen mit demselben Namen (aber z. B. in einem anderen Staat oder Land) gründen und ein gültiges Zertifikat dafür erhalten, dann aber Zertifikat, um die ursprüngliche Site zu imitieren. In einer Demonstration gründete ein Forscher ein Unternehmen namens "Stripe, Inc." in Kentucky und zeigte, dass Browser es ähnlich wie das Zertifikat des Zahlungsverarbeiters " Stripe, Inc. " mit Sitz in Delaware anzeigen . Der Forscher behauptete, dass der Demonstrationsaufbau etwa eine Stunde seiner Zeit in Anspruch nahm, 100 US-Dollar an Prozesskosten und 77 US-Dollar für das Zertifikat. Außerdem stellte er fest, dass „[Benutzer] mit genügend Mausklicks in der Lage sein kann, die Stadt und den Staat [in dem die Entität eingetragen ist] [zu sehen], aber keines davon ist für einen typischen Benutzer hilfreich, und er wird wahrscheinlich einfach blind vertrauen die Anzeige [EV-Zertifikat]".
Verfügbarkeit für kleine Unternehmen
Da EV-Zertifikate als Zeichen einer vertrauenswürdigen Website beworben und gemeldet werden, haben einige Kleinunternehmer Bedenken geäußert, dass EV-Zertifikate großen Unternehmen einen unangemessenen Vorteil verschaffen. Die veröffentlichten Entwürfe der EV-Richtlinien schlossen nicht rechtsfähige Unternehmen aus, und frühe Medienberichte konzentrierten sich auf dieses Thema. Version 1.0 der EV-Richtlinien wurde überarbeitet, um nicht eingetragene Vereinigungen einzubeziehen, solange sie bei einer anerkannten Behörde registriert sind, wodurch sich die Anzahl der Organisationen, die sich für ein Extended Validation Certificate qualifiziert haben, stark erhöht hat. Für kleine Unternehmen steht eine Liste von EV-Zertifikaten mit Preis- und Funktionsvergleich zur Verfügung, um ein kostengünstiges Zertifikat auszuwählen.
Effektivität gegen Phishing-Angriffe mit IE7-Sicherheits-UI
Im Jahr 2006 führten Forscher der Stanford University und Microsoft Research eine Usability-Studie des EV-Displays im Internet Explorer 7 durch . Ihr Papier kam zu dem Schluss, dass "Teilnehmer, die keine Schulung in Browser-Sicherheitsfunktionen erhielten, den erweiterten Validierungsindikator nicht bemerkten und die Kontrollgruppe nicht übertrafen", während "Teilnehmer, die gebeten wurden, die Internet Explorer-Hilfedatei zu lesen, eher beides als real klassifizierten". und gefälschte Websites als legitim".
Domain-validierte Zertifikate wurden in erster Linie von CAs erstellt
Während Befürworter von EV-Zertifikaten behaupten, sie helfen gegen Phishing-Angriffe, sagt Sicherheitsexperte Peter Gutmann , dass die neue Klasse von Zertifikaten die Gewinne einer CA wieder herstellt, die durch den Wettlauf nach unten unter den Emittenten in der Branche erodiert wurden. Laut Peter Gutmann sind EV-Zertifikate gegen Phishing nicht wirksam, da EV-Zertifikate "kein Problem beheben, das die Phisher ausnutzen". Er schlägt vor, dass die großen kommerziellen CAs EV-Zertifikate eingeführt haben, um die alten hohen Preise zurückzugeben.