Certificado de validação estendida - Extended Validation Certificate
Um Certificado de Validação Estendida ( EV ) é um certificado em conformidade com X.509 que prova a entidade legal do proprietário e é assinado por uma chave de autoridade de certificação que pode emitir certificados EV. Os certificados EV podem ser usados da mesma maneira que quaisquer outros certificados X.509, incluindo a segurança das comunicações na Web com HTTPS e a assinatura de software e documentos. Ao contrário dos certificados validados por domínio e certificados de validação de organização, os certificados EV podem ser emitidos apenas por um subconjunto de autoridades de certificação (CAs) e exigem a verificação da identidade legal da entidade solicitante antes da emissão do certificado.
Em fevereiro de 2021, todos os principais navegadores da web (Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari) têm menus que mostram o status EV do certificado e a identidade legal verificada dos certificados EV. Os navegadores móveis geralmente exibem certificados EV da mesma forma que exibem os certificados de Validação de Domínio (DV) e Validação de Organização (OV). Dos dez sites online mais populares, nenhum usa certificados EV e a tendência está longe de seu uso.
Para software , a identidade legal verificada é exibida ao usuário pelo sistema operacional (por exemplo, Microsoft Windows) antes de prosseguir com a instalação.
Certificados Extended Validation são armazenados em um formato de arquivo especificado por e normalmente usam a mesma criptografia como certificados validados-organização e certificados validados de domínio , de modo que eles são compatíveis com a maioria de servidores e software agente do usuário.
Os critérios para a emissão de certificados EV são definidos pelas Diretrizes para Validação Estendida estabelecidas pelo Fórum CA / Navegador .
Para emitir um certificado de validação estendida, uma CA requer a verificação da identidade da entidade solicitante e seu status operacional com seu controle sobre o nome de domínio e servidor de hospedagem.
História
Introdução por CA / Fórum de Navegador
Em 2005, Melih Abdulhayoglu , CEO do Comodo Group , convocou a primeira reunião da organização que se tornou o CA / Browser Forum , na esperança de melhorar os padrões de emissão de certificados SSL / TLS. Em 12 de junho de 2007, o CA / Browser Forum ratificou oficialmente a primeira versão das Diretrizes de validação estendida (EV) SSL, que entrou em vigor imediatamente. A aprovação formal encerrou com sucesso mais de dois anos de esforços e forneceu a infraestrutura para uma identidade de site confiável na Internet. Então, em abril de 2008, o fórum anunciou a versão 1.1 das diretrizes, com base na experiência prática de seus CAs membros e fornecedores de software de aplicativo de terceiros , adquirida nos meses desde que a primeira versão foi aprovada para uso.
Criação de indicadores de IU especiais em navegadores
A maioria dos principais navegadores criou indicadores de interface de usuário especiais para páginas carregadas via HTTPS protegidas por um certificado EV logo após a criação do padrão. Isso inclui Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. Além disso, alguns navegadores móveis, incluindo Safari para iOS, Windows Phone, Firefox para Android, Chrome para Android e iOS, adicionaram tais indicadores de IU. Normalmente, os navegadores com suporte a EV exibem a identidade validada - geralmente uma combinação de nome da organização e jurisdição - contida no campo 'assunto' do certificado EV.
Na maioria das implementações, a tela aprimorada inclui:
- O nome da empresa ou entidade que possui o certificado;
- Um símbolo de cadeado, também na barra de endereço, que varia de cor dependendo do status de segurança do site.
Ao clicar no símbolo de cadeado, o usuário pode obter mais informações sobre o certificado, incluindo o nome da autoridade de certificação que emitiu o certificado EV.
Remoção de indicadores especiais da IU
Em maio de 2018, o Google anunciou planos para redesenhar as interfaces de usuário do Google Chrome para remover a ênfase para certificados EV. O Chrome 77, lançado em 2019, removeu a indicação do certificado EV da omnibox, mas o status do certificado EV pode ser visualizado clicando no ícone de cadeado e, em seguida, verificando o nome da entidade legal em "certificado". O Firefox 70 removeu a distinção na omnibox ou na barra de URL (os certificados EV e DV são exibidos de forma semelhante com apenas um ícone de cadeado), mas os detalhes sobre o status do EV do certificado podem ser acessados na exibição mais detalhada que abre após clicar no ícone de cadeado.
O Apple Safari no iOS 12 e MacOS Mojave (lançado em setembro de 2018) removeu a distinção visual do status EV.
Critérios de emissão
Apenas CAs que passam por uma revisão de auditoria qualificada independente podem oferecer EV, e todos os CAs globalmente devem seguir os mesmos requisitos de emissão detalhados que visam:
- Estabelecer a identidade legal, bem como a presença operacional e física do proprietário do site;
- Estabelecer que o requerente é o proprietário do nome de domínio ou tem controle exclusivo sobre o nome de domínio;
- Confirme a identidade e autoridade dos indivíduos que agem em nome do proprietário do site e se os documentos relativos às obrigações legais são assinados por um funcionário autorizado;
- Limite a duração da validade do certificado para garantir que as informações do certificado estejam atualizadas. O Fórum CA / B também está limitando a reutilização máxima de dados de validação de domínio e dados de organização a um máximo de 397 dias (não deve exceder 398 dias) de março de 2020 em diante.
Com exceção dos certificados de validação estendida para domínios .onion , de outra forma não é possível obter um certificado de validação estendida curinga - em vez disso, todos os nomes de domínio totalmente qualificados devem ser incluídos no certificado e inspecionados pela autoridade de certificação.
Identificação de certificado de validação estendida
Os certificados EV são certificados digitais padrão X.509. A principal maneira de identificar um certificado EV é referindo-se ao campo de extensão das Políticas de certificado. Cada emissor usa um identificador de objeto (OID) diferente neste campo para identificar seus certificados EV, e cada OID é documentado na Declaração de Práticas de Certificação do emissor. Assim como acontece com as autoridades de certificação raiz em geral, os navegadores podem não reconhecer todos os emissores.
Os certificados EV HTTPS contêm um assunto com X.509 OIDs para jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.311.60.2.1.3), jurisdictionOfIncorporationStateOrProvinceName(OID: 1.3.6.1.4.1.311.60.2.1.2) (opcional), jurisdictionLocalityName(OID: 1.3.6.1.4.1.311.60.2.1.1) (opcional), businessCategory(OID: 2.5.4.15) e serialNumber(OID: 2.5.4.5), com o serialNumberapontamento para a identificação no secretário de estado (EUA) ou negócios governamentais relevantes registrador (fora dos EUA), bem como um identificador de política específico da CA para que o software compatível com EV, como um navegador da web, possa reconhecê-los. Este identificador é o que define o certificado EV e é a diferença com o certificado OV.
Protocolo de Status de Certificado Online
Os critérios para a emissão de certificados de Validação Estendida não exigem a emissão de autoridades de certificação para oferecer suporte imediato ao Protocolo de Status de Certificado Online para verificação de revogação. No entanto, o requisito de uma resposta oportuna às verificações de revogação pelo navegador fez com que a maioria das autoridades de certificação, que não o haviam feito anteriormente, implementassem o suporte OCSP. A Seção 26-A dos critérios de emissão exige que as CAs suportem a verificação do OCSP para todos os certificados emitidos após 31 de dezembro de 2010.
Crítica
Nomes de entidades em conflito
Os nomes da entidade legal não são exclusivos, portanto, um invasor que deseja se passar por uma entidade pode incorporar uma empresa diferente com o mesmo nome (mas, por exemplo, em um estado ou país diferente) e obter um certificado válido para isso, mas depois usar o certificado para personificar o site original. Em uma demonstração, um pesquisador incorporou uma empresa chamada "Stripe, Inc." em Kentucky e mostrou que os navegadores o exibem de maneira semelhante à forma como exibem o certificado do processador de pagamento " Stripe, Inc. " incorporado em Delaware . O pesquisador afirmou que a configuração da demonstração levou cerca de uma hora de seu tempo, US $ 100 em custas judiciais e US $ 77 para o certificado. Além disso, ele observou que "com cliques de mouse suficientes, [usuário] pode ser capaz de [visualizar] a cidade e o estado [onde a entidade está incorporada], mas nenhum desses é útil para um usuário típico, e eles provavelmente confiarão cegamente o indicador [certificado EV] ".
Disponibilidade para pequenas empresas
Uma vez que os certificados EV estão sendo promovidos e relatados como uma marca de um site confiável, alguns proprietários de pequenas empresas expressaram preocupações de que os certificados EV oferecem vantagens indevidas para grandes empresas. Os rascunhos publicados das Diretrizes de EV excluíam entidades comerciais não incorporadas e os primeiros relatos da mídia focavam nessa questão. A versão 1.0 das Diretrizes EV foi revisada para incluir associações não incorporadas, desde que fossem registradas em uma agência reconhecida, expandindo significativamente o número de organizações que se qualificaram para um Certificado de Validação Estendida. Uma lista de certificados EV com comparação de preços e recursos está disponível para pequenas empresas para selecionar um certificado de baixo custo.
Eficácia contra ataques de phishing com interface de usuário de segurança do IE7
Em 2006, pesquisadores da Stanford University e da Microsoft Research conduziram um estudo de usabilidade do visor EV no Internet Explorer 7 . O artigo concluiu que "os participantes que não receberam nenhum treinamento em recursos de segurança do navegador não notaram o indicador de validação estendida e não superaram o grupo de controle", enquanto "os participantes que foram solicitados a ler o arquivo de ajuda do Internet Explorer eram mais propensos a classificar ambos os reais e sites falsos como legítimos ".
Os certificados validados por domínio foram criados por CAs em primeiro lugar
Enquanto os proponentes dos certificados EV afirmam que ajudam contra ataques de phishing, o especialista em segurança Peter Gutmann afirma que a nova classe de certificados restaura os lucros de uma CA que foram corroídos devido à corrida para o fundo do poço que ocorreu entre os emissores da indústria. De acordo com Peter Gutmann, os certificados EV não são eficazes contra o phishing porque os certificados EV "não corrigem nenhum problema explorado pelos phishers". Ele sugere que as grandes CAs comerciais introduziram certificados EV para devolver os antigos preços elevados.