UP: 6.5 Протокол SSL. Безопасный уровень соединителей

6.5.1 SSL-сертификаты с расширенной валидацией

Семенов Ю.А. (ИТЭФ-МФТИ)
Yu. Semenov (ITEP-MIPT)

Сертификат расширенной валидации (EV) является сертификатом с открытым ключом X.509, сформированным с привлечением некоторого набора критериев верификации идентичности. Эти критерии требуют углубленной верификации объекта со стороны сертификационного центра (CA) перед окончательным формированием сертификата. Такой сертификат структурно не отличается от других сертификатов и не предлагает более высокой криптографической прочности, но он снабжается специальным идентификатором, что позволяет программе распознать его тип.

Критерии для формирования EV-сертификатов определены в документе “Guidelines For The Issuance And Management Of Extended Validation Certificates” версии 1.2. Смотри также [1].

В 2005 Мелих Абдулхэйоглу (Melih Abdulhayoglu) организовал собрание экспертов, которое позднее стало CA/Browser-форумом. Целью этого форума стало улучшение стандартов для SSL-сертификатов. 12-го июня 2007, CA/Browser-форум официально ратифицировал первую версию документа Extended Validation (EV) SSL. Это открыло возможность создания инфраструктуры для идентификации Web-сайтов в Интернет. Затем, в апреле 2008 форумом был выпущена версия 1.1.

Давление со стороны коммерческих структур привело к тому, что была разработана упрощенная версия SSL-сертификации "domain validation only" (проверка идентичности доменов).

Большинство пользовательских интерфейсов браузеров не делают различия между сертификатами низкого и высокого уровней валидации. Так как при любом успешном SSL-соединении появляется иконка с висячим замком, пользователи не могут быть уверены, был ли валидирован владелец WEB-сайта. В результате, злоумышленники (включая фишинг WEB-сайты) начали использовать SSL, чтобы придать больше доверительности своим сайтам.

Путем установления жестких критериев выпуска сертификатов и последовательного следования этим критериям всех сертификационных узлов, сертификаты EV SSL позволят восстановить доверие между пользователями и операторами легальных WEB-сайтов.

Только сертификационные центры, которые прошли независимый аудит, могут предлагать EV, и все CA в масштабах всего мира должны следовать одним и тем же требованиям:

• Устанавливать легальную идентичность операционного и физического присутствия владельца WEB-сайта;
• Устанавливать, что соискатель является владельцем доменного имени или имеет обладает полным контролем над доменным именем и
• Подтвердить идентичность и права лиц, действующих от имени владельца WEB-сайта, и что документы, имеющие отношение к официальным обязательствам, подписаны авторизованным официальным лицом.

Пользовательский интерфейс

Браузеры с поддержкой EV отображают больше информации для EV-сертификатов, чем для предыдущих SSL-сертификатов. Microsoft Internet Explorer 7, Mozilla Firefox 3.5, Safari 3.2, Opera 9.5 и Google Chrome предоставляют поддержку EV.

EV-технология требует участия сертификационного центра при формировании EV-идентификатора, который регистрируется поставщиком браузера, который поддерживает EV. Браузер проверяет соответствие EV-идентификатора в SSL-сертификате с тем, что зарегистрирован для конкретного сертификационного центра: если соответствие имеется, и сертификат признан действующим, SSL-сертификат получает EV-метку в пользовательском интерфейсе браузера. В большинстве реализаций такая метка включает в себя:

• Название компании или объекта, которому принадлежит сертификат.
• Имя сертификационного центра SSL Certificate Authority (CA), который сформировал EV-сертификат.
• Яркий цвет, обычно зеленый, используемый в адресной строке для индикации корректности полученного EV-сертификата.

Идентификация сертификатов EV

EV-сертификаты следуют стандарту x.509 для цифровых сертификатов. Первоначальный способ идентификации EV-сертификата заключается в обращении к полю расширения Certificate Policies (политик сертификации). Каждый источник сертификата для идентификации своих EV-сертификатов использует в этом поле свой идентификатор объекта (OID), и каждый OID документируется источником сертификата Certification Practice Statement (уведомление о сертификационной практике). Не все браузеры могут распознать любой источник сертификата.

Протокол состояния сертификата в реальном масштабе времени

Правила генерации EV-сертификатов не требуют немедленной поддержки CA протокола OCSP (Online Certificate Status Protocol) в части проверки аннулирования сертификатов.

После более чем 4 лет внедрения EV SSL сертификатов они охватывают только 2.3% сертификатов (согласно обзору компании Netcraft). Большинство сайтов использует наиболее дешевые типы сертификатов – валидирующих домен.

Компания Netcraft (апрель 2011) выявила 38,966 корректных EV-сертификатов (см. рис. 1):

Рис. 1. Процесс внедрения сертификатов EV 2007-2011гг

EV SSL certiсертификаты стоят дороже чем валидированные сертификаты домена и организации вместе взятые. Процесс проверки EV-сертификатов не всегда может быть автоматизирован до такой же степени как валидация доменных сертификатов – например, современные правила могут при определенных обстоятельствах потребовать визита сотрудника сертификационного центра с целью проверки корректности адреса организации-заявителя.

Так как проще автоматически выполнить валидацию домена, центры сертификации могут предпочесть более простую и дешевую процедуру.

Рис. 2. Индикация поддержки сертификата EV в браузерах (зеленая окраска поля адреса сервера говорит о безопасности его посещения)

Конечно, EV-сертификаты не могут полностью предотвратить фишинг-атаки. Если бы атакер скомпрометировал вебсайт, который уже использует корректный EV-сертификат, он бы мог загрузить на сайт свое вредоносное содержимое. Такая проблема была впервые продемонстрирована на SourceForge, и затем на paypal.com несколько лет назад, когда уязвимости XSS (cross-site scripting) позволяли вносить на страницы произвольное содержимое. PayPal была одной из первых компаний, которые использовали EV-сертификаты.

Рис. 3. Доля использования сертификатов доменов, организаций и EV

Ограничивая наш анализ 1000 наиболее загруженных WEB-сайтов по всему миру, 81 сайт воспринимал HTTPS-соединения и представляли корректные SSL-сертификаты. Почти одна треть этих сертификатов использует EV-технику – в более высокой пропорции, чем 2.3% от всех сертификатов.

Хотя сертификаты валидации доменов составляют большую долю рынка, эта доля начинает сокращаться, если исключить из рассмотрения сайты с малой частотой посещений. Сертификаты валидации организация составляют наибольшую долю из топ миллиона сайтов, а также почти в двое популярнее EV-сертификатов в топ 1000.

Будущее выглядит вполне обещающим как для EV так и для сертификатов валидации доменов. Оба типа за последние годы демонстрируют продолжающийся рост. Сертификаты , валидирующие организации не дают такого же уровня уверенности, как EV-сертификат.

Extended Validation Certificate