Jump to content

Ընդլայնված վավերացման վկայական

Վիքիպեդիայից՝ ազատ հանրագիտարանից

Ընդլայնված վավերացման վկայական (Ev SSL վկայական ) որն օգտագործվում է կայքում HTTPS աջակցությունը կարգավորելու համար։ Ev վկայական ստանալու համար անհրաժեշտ է սերտիֆիկացման կենտրոնում այն ընկերության գոյության հաստատումը, որի անունով տրվում է վկայականը։

Բրաուզերները օգտատերերին տեղեկացնում են, որ կայքն ունի EV SSL վկայագիր։ Նրանք կա՛մ դոմենի անվան փոխարեն ցուցադրել են ընկերության անվանումը, կա՛մ մոտակայքում տեղադրել են ընկերության անվանումը. Այնուամենայնիվ, ավելի ուշ բրաուզերի մշակողները հայտարարեցին, որ պլաններ ունեն անջատել այս գործառույթը[1]։

Ev վկայագրերն օգտագործում են պաշտպանության նույն մեթոդները, ինչ DV և OV վկայագրերը։ պաշտպանության ավելի բարձր մակարդակ ապահովվում է սերտիֆիկացման կենտրոնում ընկերության գոյությունը հաստատելու անհրաժեշտությամբ։

Ev վկայագրերի տրամադրման չափանիշները սահմանվում են հատուկ փաստաթղթով ՝Guidelines for Extended Validation[2](Ընդլայնված վավերացման ուղեցույցներ), ներկայումս (2019թ։ օգոստոսի 1-ի դրությամբ) այս փաստաթղթի տարբերակն է 1։ 7։ 0։ Ուղեցույցը մշակվել է CA/Browser Forum կազմակերպության կողմից, որի անդամներն են հավաստագրման կենտրոնները և ինտերնետ ծրագրային ապահովման մատակարարները, ինչպես նաև իրավաբանական և աուդիտորական մասնագիտությունների ներկայացուցիչներ[3]։

2005 թվականին Comodo Group-ի գործադիր տնօրեն Մելիհ Աբդուլհայօղլուն հրավիրեց կազմակերպության առաջին նիստը, որը հետագայում կդառնա CA/Browser Forum։ Հանդիպման նպատակն էր բարելավել SSL/TLS վկայագրերի տրամադրման ստանդարտները[4]։ 2007 թվականի հունիսի 12-ին CA/Browser Forum-ը պաշտոնապես վավերացրեց Ընդլայնված ստուգման ուղեցույցի առաջին տարբերակը, և փաստաթուղթն անմիջապես ուժի մեջ մտավ։ Պաշտոնական հաստատումը հանգեցրել է վստահելի ինտերնետային կայքերի նույնականացման ենթակառուցվածքի տրամադրման ավարտին։ Այնուհետև, 2008 թվականի ապրիլին, CA/Browser Forum-ը հայտարարեց Ուղեցույցի նոր տարբերակի հայտնվելու մասին (1։ 1)։ Նոր տարբերակը հիմնված էր սերտիֆիկացման կենտրոնների և ծրագրային ապահովման արտադրողների փորձի վրա։

Վկայական ստանալու մոտիվացիա

[խմբագրել | խմբագրել կոդը]

SSL/TLS–ով թվային վկայագրեր օգտագործելու կարևոր դրդապատճառը առցանց գործարքների նկատմամբ վստահության բարձրացումն է։ Սա պահանջում է, որ կայքի օպերատորները ստուգվեն վկայական ստանալու համար.

Այնուամենայնիվ, առևտրային ճնշումները որոշ սերտիֆիկացման կենտրոնների դրդեցին ներմուծել ավելի ցածր մակարդակի վկայագրեր (domain-validation)։ Domain վավերացման վկայականները գոյություն ունեին մինչև ընդլայնված վավերացումը և, որպես կանոն, դրանց ստացումը պահանջում է միայն տիրույթի վերահսկողության որոշակի հաստատում։ Մասնավորապես,domain validation վկայագրերը չեն պնդում, որ իրավաբանական անձը որևէ առնչություն ունի տիրույթի հետ, թեև կայքը կարող է ինքնին գրել, որ այն պատկանում է իրավաբանական անձին..

Սկզբում բրաուզերների մեծ մասի օգտատիրոջ միջերեսները չէին տարբերում տիրույթի վավերացման(domain validation) և ընդլայնված վավերացման (extended validation) վկայագրերը։ Քանի որ ցանկացած հաջող SSL/TLS կապ բրաուզերների մեծ մասում հանգեցրել է կանաչ կողպեքի պատկերակի, օգտատերերը դժվար թե իմանային՝ կայքը հաստատված է ընդլայնված վավերացմամբ, թե ոչ (2019թ։ հունվարի դրությամբ Chrome-ը հեռացրել է կանաչ պատկերակները բրաուզերում)։ Արդյունքում, խաբեբաները (ներառյալ ֆիշինգով զբաղվողները) կարող էին օգտագործել TLS՝ իրենց կայքերի նկատմամբ վստահությունը բարձրացնելու համար։ Հետագա բրաուզերների օգտատերերը միշտ կարող են ստուգել վկայականների սեփականատերերի ինքնությունը՝ ուսումնասիրելով դրանում նշված վկայագրի մասին տեղեկությունները (ներառյալ կազմակերպության անվանումը և հասցեն)։

EV վկայագրերը ստուգվում են ինչպես հիմնական պահանջներին, այնպես էլ ընդլայնված պահանջներին համապատասխանելու համար։ Պահանջվում է հայտատուի կողմից պահանջվող դոմենների անունների ձեռքով ստուգում, պետական պաշտոնական աղբյուրների ստուգում, տեղեկատվության անկախ աղբյուրների ստուգում և ընկերության հեռախոսազանգերը։ Եթե վկայականը տրվել է, ապա սերտիֆիկացման մարմնի կողմից գրանցված ձեռնարկության սերիական համարը, ինչպես նաև ֆիզիկական հասցեն պահվում են դրանում։

EV վկայագրերը նախատեսված են բարձրացնելու օգտատերերի վստահությունը, որ կայքի օպերատորը իսկապես գոյություն ունեցող կազմակերպություն է[5]։

Այնուամենայնիվ, մնում է մտավախություն, որ պատասխանատվության նույն բացակայությունը, որը հանգեցրել է DV վկայագրի նկատմամբ հանրային վստահության կորստի, կհանգեցնի EV վկայագրերի արժեքի կորստի[6]։

Տրման չափանիշներ

[խմբագրել | խմբագրել կոդը]

Միայն սերտիֆիկացման մարմինները, որոնք անցել են անկախ որակավորված աուդիտ, կարող են առաջարկել EV վկայագրեր[7], և բոլոր կենտրոնները պետք է հետևեն թողարկման պահանջներին, որոնք ուղղված են։

  • Իրավաբանական անձի և կայքի սեփականատիրոջ գոյության հաստատում
  • Հաստատելով, որ իրավաբանական անձը իրականում պատկանում է այս դոմենին
  • Կայքի սեփականատիրոջ ինքնության և կայքի սեփականատիրոջ անունից հանդես եկող անձանց լիազորությունների հաստատում։

Բացառությամբ[8] ․onion տիրույթների EV վկայագրերի, հնարավոր չէ ստանալ wildcard վկայագիր Extended Validation -ով, փոխարենը բոլոր ամբողջական տիրույթի անունները պետք է ներառվեն վկայագրում և ստուգվեն սերտիֆիկացման մարմնի կողմից[9]։

Օգտագործողի ինտերֆեյս

[խմբագրել | խմբագրել կոդը]

EV-ին աջակցող բրաուզերները ցուցադրում են տեղեկատվություն այն մասին, թե ինչ է EV վկայագիրը, սովորաբար օգտագործողին ցուցադրվում է կազմակերպության անվանումը և գտնվելու վայրը։ Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera և Google Chrome բրաուզերներն աջակցում են EV-ին։

Ընդլայնված ստուգման կանոնները պահանջում են, որ մասնակից սերտիֆիկացման մարմինները նշանակեն որոշակի EV նույնացուցիչ այն բանից հետո, երբ սերտիֆիկացման մարմինն ավարտի անկախ աուդիտը և համապատասխանի այլ չափանիշներին։ Բրաուզերները հիշում են այս նույնացուցիչը, համապատասխանեցնում են վկայագրի EV նույնացուցիչը տվյալ սերտիֆիկացման մարմնի բրաուզերում եղածի հետ, եթե դրանք համընկնում են, վկայականը համարվում է ճիշտ։ Շատ բրաուզերներում EV-ն ազդարարում է վկայագրի առկայությունը։

  • Ընկերության կամ կազմակերպության անվանումը, որին պատկանում է վկայականը
  • Հատկանշական գույն, սովորաբար կանաչ, որը ցուցադրվում է հասցեագոտում, որը ցույց է տալիս, որ վկայականը ստացվել է (քանի որ HTTPS-ի տարածումը մեծանում է, բրաուզերները հրաժարվում են կանաչ գույնից հասցեագոտում, օրինակ՝ Google Chrome-ը[10]
  • «castle»(կողպեք) նիշը նույնպես հասցեագոտում է (զննարկիչները կարող են հրաժարվել այս նիշը ցուցադրելուց)[10]։

Սեղմելով «կողպեք»ի վրա՝ դուք կարող եք ավելի շատ տեղեկություններ ստանալ վկայագրի մասին, ներառյալ EV վկայականը տված սերտիֆիկացման մարմնի անվանումը։

Համատեղելիություն

[խմբագրել | խմբագրել կոդը]

Ընդլայնված ստուգման վկայագրերի մեծ մասը համատեղելի է հետևյալ բրաուզերների հետ[11]

Աջակցվող շարժական սարքերի բրաուզերներ

[խմբագրել | խմբագրել կոդը]
  • Safari iOS–ի համար
  • Բրաուզեր Windows Phone
  • Firefox–ը Android–ի համար
  • Chrome Android–ի և iOS–ի համար

Աջակցվող վեբ սերվերներ

[խմբագրել | խմբագրել կոդը]

Ընդլայնված ստուգումն աջակցում է բոլոր վեբ սերվերներին, եթե նրանք աջակցում են HTTPS-ին։

Նույնականացման վկայականի ընդլայնված ստուգում

[խմբագրել | խմբագրել կոդը]

EV վկայագրեր ստանդարտ թվային վկայագրեր X։509։ Ev վկայագրի նույնականացման հիմնական միջոցը Certificate Policies դաշտ մուտք գործելն է։ Վկայական տրամադրող յուրաքանչյուր մարմին օգտագործում է իր նույնացուցիչը (OID)՝ իր EV վկայագրերը նույնականացնելու համար, և յուրաքանչյուր OID փաստաթղթավորված է սերտիֆիկացման մարմնի կողմից։ Ինչպես արմատային սերտիֆիկացման կենտրոնների դեպքում, բրաուզերները կարող են չճանաչել բոլոր նրանց, ովքեր վկայականներ են տալիս։

Issuer OID Certification Practice Statement
Actalis 1.3.159.1.17.1 Actalis CPS v2.3,
AffirmTrust 1.3.6.1.4.1.34697.2.1 AffirmTrust CPS v1.1, p. 4
1.3.6.1.4.1.34697.2.2
1.3.6.1.4.1.34697.2.3
1.3.6.1.4.1.34697.2.4
A-Trust 1.2.40.0.17.1.22 a.sign SSL EV CPS v1.3.4
Buypass 2.16.578.1.26.1.3.3 Buypass Class 3 EV CPS
Camerfirma 1.3.6.1.4.1.17326.10.14.2.1.2 Camerfirma CPS v3.2.3
1.3.6.1.4.1.17326.10.8.12.1.2
Comodo Group 1.3.6.1.4.1.6449.1.2.1.5.1 Comodo EV CPS, p. 28
DigiCert 2.16.840.1.114412.2.1 DigiCert EV CPS v. 1.0.3, p. 56
2.16.840.1.114412.1.3.0.2
DigiNotar (нерабочий[12]) 2.16.528.1.1001.1.1.1.12.6.1.1.1 N/A
D-TRUST 1.3.6.1.4.1.4788.2.202.1 D-TRUST CP
E-Tugra 2.16.792.3.0.4.1.1.4 E-Tugra Certification Practice Statement (CPS)(չաշխատող հղում), p. 2
Entrust 2.16.840.1.114028.10.1.2 Entrust EV CPS
ETSI 0.4.0.2042.1.4 ETSI TS 102 042 V2.4.1, p. 18
0.4.0.2042.1.5
Firmaprofesional 1.3.6.1.4.1.13177.10.1.3.10 SSL Secure Web Server Certificates(չաշխատող հղում), p. 6
GeoTrust 1.3.6.1.4.1.14370.1.6 GeoTrust EV CPS v. 2.6, p. 28
GlobalSign 1.3.6.1.4.1.4146.1.1 GlobalSign CP/CPS Repository
Go Daddy 2.16.840.1.114413.1.7.23.3 Go Daddy CP/CPS Repository
Izenpe 1.3.6.1.4.1.14777.6.1.1 DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Արխիվացված 2015-04-30 Wayback Machine,
Kamu Sertifikasyon Merkezi 2.16.792.1.2.1.1.5.7.1.9 TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE
Logius PKIoverheid 2.16.528.1.1003.1.2.7 CPS PA PKIoverheid Extended Validation Root v1.5 Արխիվացված 2023-01-06 Wayback Machine
Network Solutions 1.3.6.1.4.1.782.1.2.1.8.1 Network Solutions EV CPS v. 1.1, 2.4.1
OpenTrust/DocuSign France 1.3.6.1.4.1.22234.2.5.2.3.1 SSL Extended Validation CA Certificate Policy version
QuoVadis 1.3.6.1.4.1.8024.0.2.100.1.2 QuoVadis Root CA2 CP/CPS Արխիվացված 2017-10-27 Wayback Machine, p. 34
SECOM Trust Systems 1.2.392.200091.100.721.1 SECOM Trust Systems EV CPS Արխիվացված 2011-07-24 Wayback Machine (in Japanese), p. 2
SHECA 1.2.156.112570.1.1.3 SHECA EV CPS
Starfield Technologies 2.16.840.1.114414.1.7.23.3 Starfield EV CPS
StartCom Certification Authority 1.3.6.1.4.1.23223.2 StartCom CPS, no. 4
1.3.6.1.4.1.23223.1.1.1
Swisscom 2.16.756.1.83.21.0 Swisscom Root EV CA 2 CPS (in German), p. 62
SwissSign 2.16.756.1.89.1.2.1.1 SwissSign Gold CP/CPS
T-Systems 1.3.6.1.4.1.7879.13.24.1 CP/CPS TeleSec ServerPass v. 3.0, p. 14
Thawte 2.16.840.1.113733.1.7.48.1 Thawte EV CPS v. 3.3, p. 95
Trustwave 2.16.840.1.114404.1.1.2.4.1 Trustwave EV CPS [1]
Symantec (VeriSign) 2.16.840.1.113733.1.7.23.6 Symantec EV CPS
Verizon Business (formerly Cybertrust) 1.3.6.1.4.1.6334.1.100.1 Cybertrust CPS v.5.2 Արխիվացված 2011-07-15 Wayback Machine, p. 20
Wells Fargo 2.16.840.1.114171.500.9 WellsSecure PKI CPS [2]
WoSign 1.3.6.1.4.1.36305.2 WoSign CPS V1.2.4, p. 21

Քննադատություն

[խմբագրել | խմբագրել կոդը]

Փոքր բիզնեսի հասանելիություն

[խմբագրել | խմբագրել կոդը]

EV վկայագրերը նախատեսված էին որպես կայքի հուսալիությունը հաստատելու միջոց[13], սակայն որոշ փոքր ընկերություններ կարծում էին[14], որ EV վկայագրերը կարող են առավելություն տալ միայն խոշոր բիզնեսին։ Մամուլը նշել է, որ վկայական ստանալու հարցում կան խոչընդոտներ[14]։ 1։ 0 տարբերակը վերանայվել է՝ թույլ տալով գրանցել EV վկայագրեր, այդ թվում՝ փոքր ձեռնարկություններին, ինչը հնարավորություն է տվել ավելացնել տրված վկայականների թիվը։

Արդյունավետությունն ֆիշինգի հարձակումների դեմ

[խմբագրել | խմբագրել կոդը]

2006 թվականին Սթենֆորդի համալսարանի և Microsoft Research-ի գիտնականները հետազոտություն են անցկացրել այն մասին, թե ինչպես են EV վկայականները[15] ցուցադրվել Internet Explorer 7-ում։ Հետազոտության համաձայն՝ «մարդիկ, ովքեր չեն հասկացել բրաուզերը, ուշադրություն չեն դարձրել EV SSL-ին և չեն կարողացել ավելի լավ արդյունք ստանալ, քան վերահսկիչ խումբը»։ Միևնույն ժամանակ, «մասնակիցները, որոնց խնդրել են կարդալ Help ֆայլը, ցանկանում էին ճիշտ ճանաչել ինչպես իրական, այնպես էլ կեղծ» կայքերը.

Փորձագիտական կարծիք ֆիշինգի դեմ պայքարում EV-ի արդյունավետության վերաբերյալ

[խմբագրել | խմբագրել կոդը]

Երբ խոսում են EV-ների մասին, ասում են, որ վկայագրերն օգնում են պաշտպանվել ֆիշինգից[16], սակայն նորզելանդացի փորձագետ Փիթեր Գութմանը կարծում է, որ ֆիշինգի դեմ պայքարի ազդեցությունն իրականում նվազագույն է։ Նրա կարծիքով, EV վկայականները պարզապես միջոց են ստիպելու ձեզ ավելի շատ գումար վճարել[17]։

Նմանատիպ ընկերությունների անվանումներ

[խմբագրել | խմբագրել կոդը]

Ընկերությունների անունները կարող են նույնը լինել։ Հարձակվողը կարող է գրանցել իր ընկերությունը նույն անունով, ստեղծել SSL վկայագիր և ստեղծել բնօրինակին նման կայք։ Գիտնականը Կենտուկիում ստեղծել է «Stripe, Inc.» ընկերությունը և նկատել, որ բրաուզերի մակագրությունը շատ նման է Դելավերում գտնվող Stripe, Inc ընկերության մակագրությանը։ Գիտնականը հաշվարկել է նման վկայական գրանցելը նրան արժեցել է ընդամենը 177 դոլար (100 դոլար ընկերության գրանցման համար և 77 դոլար՝ վկայականի համար)։ Նա նշեց, որ մկնիկի մի քանի կտտոցով դուք կարող եք դիտել վկայագրի գրանցման հասցեն, սակայն օգտատերերի մեծ մասը դա չի նայի, նրանք պարզապես ուշադրություն կդարձնեն բրաուզերի հասցեագոտիին[18]։

Ծանոթագրություններ

[խմբագրել | խմբագրել կոդը]
  1. Catalin Cimpanu. «Chrome 77 released with no EV indicators, contact picker, permanent Guest Mode» (անգլերեն). ZDNet. Վերցված է 2019 թ․ նոյեմբերի 18-ին.
  2. Larry Seltzer. «How Can We Improve Code Signing?». eWEEK. Վերցված է 2019 թ․ օգոստոսի 23-ին.
  3. William Hendric. «What is an EV SSL certificate?». Comodo.
  4. Hagai Bar-El. «The Inevitable Collapse of the Certificate Model». Hagai Bar-El on Security. Արխիվացված է օրիգինալից 2020 թ․ հուլիսի 31-ին. Վերցված է 2024 թ․ մայիսի 25-ին.
  5. Ben Wilson. «Audit Criteria» (անգլերեն). CAB Forum. Վերցված է 2019 թ․ օգոստոսի 23-ին.

  6. Jeremy Rowley. «Ballot 144 – Validation rules for .onion names; Appendix F section 4». CA/Browser Forum. Վերցված է 2017 թ․ մարտի 6-ին.
  7. «Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2» (PDF). CA/Browser Forum. 2014 թ․ հոկտեմբերի 16. Արխիվացված է օրիգինալից (PDF) 2021 թ․ մարտի 8-ին. Վերցված է 2014 թ․ դեկտեմբերի 15-ին. «Wildcard certificates are not allowed for EV Certificates.»
  8. 10,0 10,1 Emily Schechter. «Evolving Chrome's security indicators» (անգլերեն). Chromium Blog. Վերցված է 2019 թ․ հունվարի 8-ին.
  9. «What browsers support Extended Validation (EV) and display an EV indicator?». Symantec. Վերցված է 2014 թ․ հուլիսի 28-ին.
  10. Анатолий Ализар (2012 թ․ նոյեմբերի 1). «DigiNotar был полностью взломан» (ռուսերեն). «Хакер». Վերցված է 2019 թ․ օգոստոսի 26-ին.
  11. Evers, Joris (2007 թ․ փետրվարի 2). «IE 7 gives secure Web sites the green light». CNet. Վերցված է 2010 թ․ փետրվարի 27-ին. «The colored address bar, a new weapon in the fight against phishing scams, is meant as a sign that a site can be trusted, giving Web surfers the green light to carry out transactions there.»
  12. 14,0 14,1 Richmond, Riva (2006 թ․ դեկտեմբերի 19). «Software to Spot 'Phishers' Irks Small Concerns». The Wall Street Journal. Արխիվացված է օրիգինալից 2008 թ․ ապրիլի 15-ին. Վերցված է 2010 թ․ փետրվարի 27-ին.
  13. Jackson, Collin; Daniel R. Simon; Desney S. Tan; Adam Barth. «An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks» (PDF). Usable Security 2007. {{cite conference}}: Unknown parameter |booktitle= ignored (|book-title= suggested) (օգնություն)
  14. Luke Christou (2019 թ․ հուլիսի 30). «SSL certificates aren't enough – businesses need extended validation to prove legitimacy» (անգլերեն). Verdict. Վերցված է 2019 թ․ օգոստոսի 26-ին.
  15. Book "Engineering Security" / Peter Gutmann.
  16. Goodin, Dan (2017 թ․ դեկտեմբերի 12). «Nope, this isn't the HTTPS-validated Stripe website you think it is». Ars Technica (ամերիկյան անգլերեն). Վերցված է 2018 թ․ դեկտեմբերի 19-ին.