it-swarm-eu.dev

In che modo un utente finale distingue tra certificati OV e DV?

Questo è un ottimo collegamento che spiega i diversi tipi di certificati SSL e il livello di affidabilità fornito da loro. Un certificato di convalida estesa (EV) è facilmente identificabile dal colore verde nella barra degli indirizzi e dal nome dell'organizzazione evidenziato.

enter image description here

Ma per quanto riguarda i certificati di convalida del dominio e di convalida dell'organizzazione. Ovviamente quest'ultimo fornisce un livello di fiducia migliore. Quindi la domanda è: come fa l'utente finale a scoprire quale tipo di certificato utilizza il sito. Ho provato a visualizzare il certificato nel browser (Firefox) ma non sono riuscito a trovare nulla di rilevante.

post scriptum Ho cercato di più su Internet e anche la risposta di Tidalwave sottolinea che non c'è modo reale per un utente di scoprirlo. Quindi questo significa che per l'utente finale ci sono solo due tipi di certificati EVSSL e non EVSSL Questo non vanifica l'intero scopo di avere DV e OV?

30
Shurmajee

Perché pensi che puoi fidarti delle aziende ufficialmente registrate in alcuni paesi più di quanto puoi fidarti dei domini registrati ospitati in qualsiasi?

L'EV ha un evidente vantaggio con una convalida più rigorosa, tuttavia le differenze di affidabilità tra le altre due sono piuttosto controverse. I fornitori di browser che supportano EV semplicemente non hanno sentito la necessità di concordare un separato identificazione visiva degli altri due modelli di verifica (OV, DV), poiché nessuno dei due offre un chiaro vantaggio rispetto all'altro (se presente) affatto).

In breve, nessuno dei principali produttori di browser ha sentito la necessità o la voglia di distinguere tra i due e stare dietro di esso con il loro nome. Bene che anche loro no. Se le aziende sono in grado di resistere al controllo di EV, allora nessuno le sta fermando per richiedere tale certificato. D'altra parte, ci sono chiaramente anche necessità di certificati più economici in cui la verifica aggiuntiva non rientri nella loro fascia di prezzo. I fornitori di browser (e le interfacce utente di alcuni altri fornitori di software) con supporto EV tuttavia non sostengono questi certificati più economici in nessun altro modo speciale rispetto a quello che è già lì come al solito, per i motivi di cui sopra.

Per quanto riguarda l'altra parte della tua domanda (ispezione visiva dei dati del certificato), OV e DV differirebbero nella loro descrizione in cui OV di solito contiene più dati sulla società per cui è stato emesso, ma questo è tutto. Questa visualizzazione di informazioni aggiuntive può variare a seconda del cliente. L'immagine che stai allegando proviene tuttavia da Wikipedia e non hai menzionato in quale browser stavi ispezionando le informazioni dettagliate sul certificato, quindi non posso dire in quali differenze potresti vedere un browser sconosciuto.

Extended Validation Certificate display in Mozilla Firefox.

Esempio di certificato di convalida estesa in Mozilla Firefox (sopra).

EDIT: il certificato DV non contiene informazioni identificative nel campo del nome dell'organizzazione. In genere, questo valore riporta semplicemente il nome del dominio o dice semplicemente "Persona non convalidata", "(sconosciuto)" e così via. Questo non è standard per tutte le AC. Un altro modo sarebbe quello di ispezionare l'identificatore di politica (se presente) dove 2.23.140.1.2.1 sta per DV e 2.23.140.1.2.2 per OV. Ancora una volta, questo non è adottato da tutte le AC. In breve, non esiste un modo deterministico per stabilire se un certificato è stato convalidato dal dominio o dall'organizzazione.

Domain Validated Certificate display in Mozilla Firefox.

Esempio di certificato convalidato dal dominio in Mozilla Firefox (sopra). Si noti la mancanza di dati significativi nel campo delle informazioni sull'organizzazione.

12
TildalWave

Non c'è differenza tra DV e OF nel campo dell'identità del browser. Lo screenshot seguente mostra questo campo per Chrome, Firefox e MSIE. Sia per DV che per OV, nel campo identità viene visualizzato solo l'URL (senza nome dell'azienda).

Quando il sito ha EV, il nome dell'azienda viene visualizzato insieme all'URL. Chrome e MSIE utilizzano lo sfondo verde per il nome dell'azienda, mentre Firefox utilizzerà il testo verde per il nome dell'azienda.

enter image description here

Tuttavia, se guardi il certificato stesso, vedrai la differenza.

I due screendump di seguito provengono entrambi dal visualizzatore di certificati di Firefox.

Lo screendump di seguito proviene da un sito con solo Domain Validation (DV). Come puoi vedere, non ci sono informazioni sull'organizzazione nel certificato.

enter image description here

Il prossimo screendump proviene da un sito con Organization Validation (OV). Qui puoi vedere il nome dell'organizzazione proprietaria del dominio.

enter image description here

Troverai anche il nome dell'organizzazione di un sito con Extended Validation (EV). La differenza tra OV ed EV è che il nome dell'azienda viene visualizzato nel campo dell'identità del browser se il sito ha un certificato EV, ma non se ha un certificato OV.

Un altro modo per distinguere i certificati DV e OV è quello di ispezionare l'identificatore numerico della politica (appare nella scheda "Dettagli" del certificato, se presente). Si noti che questo identificatore non è adottato da tutte le autorità di certificazione. I valori utilizzati per l'identificatore della politica sono mostrati di seguito:

DV 2.23.140.1.2.1
OV 2.23.140.1.2.2
17
Free Radical

Le estensioni e gli OID in questione possono essere letti con una sequenza di riga di comando openssl x509 -noout -text -in <cert.file>.

Quando lo fai regolarmente, potresti voler essere esatto. Ecco uno snippet dal mio strumento di supporto per i certificati Python 3:

known_policies = {
        '2.23.140.1.2.1': 'DV',
        '2.23.140.1.2.2': 'OV',
        '2.23.140.1.1':   'EV'
}
policy_re = re.compile(r'.*(2\.23\.140\.1\.[.0-9]+)', re.DOTALL)
ext = x509.get_extension(idx)
if ext.get_short_name().decode('ascii') != 'certificatePolicies':
    # Other type of extension, not interested in that
    continue

policy_match = policy_re.match(str(ext))
if not policy_match:
    # Doesn't seem to contain valid policy information
    continue

policy_oid = policy_match.group(1)
type = known_policies[policy_oid]

L'idea generale è di utilizzare la libreria OpenSSL di Python per leggere e caricare un certificato X.509. Quindi ripeti le sue estensioni mentre cerchi un'estensione certificatePolicies -. La condizione normale prevista è che nei dati di estensione sia presente uno degli OID codificati.

2
Jari Turkia