it-swarm-eu.dev

Jaké jsou výhody certifikátu EV?

Jaké jsou různé výhody použití certifikáty s rozšířenou validací (EV) než normální certifikáty, které také poskytují poměrně vysoký stupeň šifrování, jako je RC4, 128 Bit?

Vím, že prohlížeč ukazuje zelenou vlajku pro EV certs. Existuje však i jiná výhoda než jen to?

38
Novice User

Účelem certifikátů rozšířené validace je zviditelnit uživatele, instituci, které byly vydány. Technické aspekty samotných certifikátů jsou kombinovány s vizuálními vodítky v uživatelském rozhraní aplikace, která je ověřuje: zelený pruh a viditelný název vedle umístění v prohlížeči.

Například certifikát EV na http://www.Paypal.com/ způsobí, že prohlížeč zobrazí zelený pruh a zobrazí „Paypal, Inc.“ vedle toho. Účelem je nejen propojit certifikát s vlastníkem domény (jako standardní certifikáty ověřené v doméně), ale také ho propojit s fyzičtější institucí (zde, Paypal, Inc.). K tomu musí certifikační autorita ověřit, že pojmenovaná instituce je skutečně ta, která vlastní doménu.

V konečném důsledku jde spíše o vytvoření autentičtějšího propojení mezi názvem domény a názvem společnosti, než o vytvoření „bezpečnějších“ certifikátů. Z hlediska sady šifry (což je to, co určuje šifrovací algoritmus a velikost klíče), se certifikáty EV neliší od certifikátů DV (modrý pruh).

Trochu ustoupíte, musíte si uvědomit, že účinnost HTTPS závisí na tom, že uživatel zkontroluje, zda je používán správně. (Server nemá způsob, jak zjistit, zda se klient stal obětí útoku MITM jinak, pokud nepoužívají také klientské certifikáty.) To znamená, že uživatelé musí:

  • zkontrolovat, zda se používá HTTPS, když očekávají, že to bude,
  • zkontrolovat, že neexistují žádná varování,
  • zkontrolujte, zda web, který používají, je opravdu ten, který hodlá navštívit, což vede k několika bodům:
    • kontrola, že to je doménové jméno, které očekávají,
    • ověření, zda název domény patří společnosti, kterou očekávají.

Účelem certifikátů EV je vyřešit tento poslední bod. Pokud již víte, že Amazon.com patří společnosti Amazon.com, Inc. nebo tomu google.com patří společnosti Google Inc., opravdu je nepotřebujete.

Nejsem osobně přesvědčen, že tento přístup funguje úplně, protože mohou být zneužity (viz příklad NatWest/RBS níže) a zdá se, že některé CA šíří vágní (a potenciálně zavádějící) informace o tom, co ve skutečnosti jsou, ve snaze propagovat jim.

Obecně platí, že pokud vaši uživatelé již vědí, že vaše doménové jméno je vaše, nepotřebujete jej.

Zde jsou další podrobnosti z předchozí odpověď, kterou jsem dal na podobnou otázk :

[...]

Certifikáty ověřené doménou vám zaručují, že certifikát byl vydán vlastníkovi této domény. Nic víc, ale nic méně (předpokládám, že validační postup zde byl správný). V mnoha případech to stačí. Vše záleží na tom, zda web, který propagujete, musí být propojen s institucí, která je již dobře známa off-line. Certifikáty, které jsou validovány proti organizaci (OV a EV certs), jsou užitečné zejména v případě, že potřebujete doménu také svázat s fyzickou organizací.

Například je užitečné, aby instituce, která byla původně známá prostřednictvím své budovy (např. Bank of America), mohla říci, že certifikát pro bankofamerica.com je skutečně místem, kde jste dali své fyzické peníze. V tomto případě má smysl použít certifikát OV nebo EV. To může být také užitečné, pokud existuje nejasnost ohledně toho, která instituce je za názvem domény (např. Apple.com a Apple.co.uk), což je ještě důležitější, je podobné doménové jméno vlastněné soupeřem/útočníkem, který používá podobnost názvu pro špatné účely.

V porovnání, www.google.com je to, co definuje Google pro veřejnost; Google nemusí dokazovat, že google.com patří skutečnému Googlu. Výsledkem je, že používá certifikát ověřený doménou (stejný pro Amazon.com).

To je opět užitečné, pokud uživatel ví, jak to zkontrolovat. Prohlížeče zde opravdu nepomáhají. Firefox pouze říká, „který je spuštěn (neznámý)“, pokud chcete o certifikátu získat další podrobnosti na www.google.com, aniž bychom skutečně řekli, co se tím myslí.

Certifikáty s rozšířenou validací jsou pokusem o zlepšení, a to zpřísněním postupu validace organizace a zviditelněním výsledku: zelený pruh a viditelnější organizace.

Bohužel se to někdy používá způsobem, který zvyšuje zmatek, myslím. Zde je příklad, který si můžete zkontrolovat sami: jedna z velkých britských bank (NatWest) používá https://www.nwolb.com/ pro on-line bankovní služby. Není jasné, že doménové jméno patří NatWestu (který také vlastní logičtější natwest.co.uk mimochodem). Horší je, že rozšířená validace (pokud zaškrtnete jméno vedle zeleného pruhu) se provede proti „Royal Bank of Scotland Group plc“.

Pro ty, kteří sledují finanční zprávy, to dává smysl, protože jak RBS, tak NatWest patří do stejné skupiny, ale technicky jsou RBS a NatWest konkurenty (a oba mají pobočky na hlavní ulici ve Velké Británii - i když se to změní). Pokud váš uživatel nemá takovou zvláštní znalost o tom, které skupiny obchodují pod tímto jménem, ​​měla by výstražná zvonit zazvonit skutečnost, že certifikát je vydán na jméno potenciálního konkurenta. Pokud jste jako uživatel viděli certifikát na gooooogle.com vydáno společnosti Microsoft nebo Yahoo, i když je tato lišta zelená, neměli byste to považovat za web společnosti Google.

Jeden bod, který je třeba mít na paměti u certifikátů EV, je to, že jejich konfigurace je pevně zakódována do prohlížečů . Toto je nastavení kompilace, které nelze později nakonfigurovat (na rozdíl od běžných důvěryhodných úložišť certifikátů, do kterých můžete přidat například vlastní institucionální certifikační ÚŘAD). Z cyničtějšího hlediska by to někteří mohli považovat za vhodný způsob, jak si hlavní hráči udržet silnou pozici na trhu.

43
Bruno

Předpokládá se, že uživateli sdělí zvláštní důvěru v to, že certifikační úřad vykonal svou práci správně. Primárním účelem rozšířených ověřovacích certifikátů je však skutečně pouze generování dodatečných příjmů pro certifikační autority.

Dobře, dost oplzlý, v zásadě musí dodržovat tyto pokyny před vydáním jednoho: Pokyny k certifikátu EV v.1. . Zahrnuje věci, jako je vyžadování ověření registrace a adresy společnosti/organizace a získání přístupu k podpisovým klíčům vyžaduje dvoufaktorovou autentizaci a vše je pečlivě protokolováno.

13
ewanm89

Všechny certifikační autority (CA), kterým důvěřují hlavní poskytovatelé aplikací, se musí při vydávání certifikátů TLS řídit základními požadavky zveřejněnými CABForum. Certifikační autority, které chtějí vydávat certifikáty Extended Validation (EV), musejí následovat a musí být každoročně podrobeny auditu na základě dalších pokynů a validačních požadavků, než bude jejich certifikát EV důvěryhodný a uznaný kterýmkoli z prohlížečů. Certifikační autority, které vydávají certifikáty EV, musí být vázány za $ 1M a jsou povinny do certifikátu zadat zákonné jméno, místo založení, adresu a registrační číslo (pro banky je to někdy registrační číslo FDIC). I když se může zdát, že certifikáty EV jsou pouze způsobem, jak mohou CA účtovat více peněz, existuje více rizik a výzkumů, které se týkají ověřování pravosti a autorizace předplatitele.

0
sophist2b