Un Certificado de Validación Extendida ( EV ) es un certificado conforme a X.509 que acredita la entidad legal del propietario y está firmado por una clave de autoridad de certificación que puede emitir certificados EV. Los certificados EV se pueden utilizar de la misma manera que cualquier otro certificado X.509, incluida la protección de las comunicaciones web con HTTPS y la firma de software y documentos. A diferencia de los certificados validados por dominio y los certificados de validación de organizaciones, los certificados EV solo pueden ser emitidos por un subconjunto de autoridades de certificación. (CA) y requieren la verificación de la identidad legal de la entidad solicitante antes de la emisión del certificado.
A partir de febrero de 2021, todos los principales navegadores web (Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari) tienen menús que muestran el estado EV del certificado y la identidad legal verificada de los certificados EV. Los navegadores móviles suelen mostrar los certificados EV de la misma forma que los certificados DV y OV. De los diez sitios web más populares en línea, ninguno usa certificados EV y la tendencia se aleja de su uso. [1] [ fuente autoeditada? ]
En el caso del software , el sistema operativo (por ejemplo, Microsoft Windows) muestra al usuario la identidad legal verificada antes de continuar con la instalación.
Certificados Extended Validation se almacenan en un formato de archivo especificado por y suelen utilizar la misma encriptación como certificados de organización validada y certificados de dominio validado , por lo que son compatibles con la mayoría de servidores y software de agente de usuario.
Los criterios para la emisión de certificados EV se definen en las Directrices para la validación extendida establecidas por CA / Browser Forum . [2]
Para emitir un certificado de validación extendida, una CA requiere la verificación de la identidad de la entidad solicitante y su estado operativo con su control sobre el nombre de dominio y el servidor de alojamiento.
Historia
Introducción de CA / Browser Forum
En 2005, Melih Abdulhayoglu , director ejecutivo de Comodo Group [se necesita una mejor fuente ] , convocó la primera reunión de la organización que se convirtió en CA / Browser Forum , con la esperanza de mejorar los estándares para la emisión de certificados SSL / TLS. [3] El 12 de junio de 2007, CA / Browser Forum ratificó oficialmente la primera versión de las Directrices SSL de Validación Extendida (EV), que entró en vigor de inmediato. La aprobación formal puso fin con éxito a más de dos años de esfuerzo y proporcionó la infraestructura para una identidad confiable de sitios web en Internet. Luego, en abril de 2008, el foro anunció la versión 1.1 de las pautas, basándose en la experiencia práctica de sus CA miembros y los proveedores de software de aplicaciones de las partes confiantes obtenida en los meses desde que se aprobó su uso de la primera versión.
Creación de indicadores especiales de IU en navegadores.
La mayoría de los principales navegadores crearon indicadores de interfaz de usuario especiales para las páginas cargadas a través de HTTPS protegidas por un certificado EV poco después de la creación del estándar. Esto incluye Microsoft Edge 12, Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. [4] Además, algunos navegadores móviles, incluidos Safari para iOS, Windows Phone, Firefox para Android, Chrome para Android e iOS, agregaron dichos indicadores de IU. Por lo general, los navegadores compatibles con EV muestran la identidad validada (generalmente una combinación del nombre de la organización y la jurisdicción) contenida en el campo 'asunto' del certificado EV.
En la mayoría de las implementaciones, la pantalla mejorada incluye:
- El nombre de la empresa o entidad propietaria del certificado;
- Un símbolo de candado, también en la barra de direcciones, que varía en color según el estado de seguridad del sitio web.
Al hacer clic en el símbolo del candado, el usuario puede obtener más información sobre el certificado, incluido el nombre de la autoridad certificadora que emitió el certificado EV.
Eliminación de indicadores especiales de IU
En mayo de 2018, Google anunció planes para rediseñar las interfaces de usuario de Google Chrome para eliminar el énfasis de los certificados EV. [5] Chrome 77, lanzado en 2019, eliminó la indicación del certificado EV de la omnibox, pero el estado del certificado EV se puede ver haciendo clic en el ícono de candado y luego verificando el nombre de la entidad legal en "certificado". [6] Firefox 70 eliminó la distinción en el cuadro multifunción o en la barra de URL (los certificados EV y DV se muestran de manera similar con solo un icono de candado), pero se puede acceder a los detalles sobre el estado del certificado EV en la vista más detallada que se abre después de hacer clic en el candado icono. [7]
Apple Safari en iOS 12 y MacOS Mojave (lanzado en septiembre de 2018) eliminaron la distinción visual del estado de EV. [1]
Criterios de emisión
Solo las CA que aprueben una revisión de auditoría calificada independiente pueden ofrecer EV, [8] y todas las CA a nivel mundial deben seguir los mismos requisitos de emisión detallados que tienen como objetivo:
- Establecer la identidad legal, así como la presencia física y operativa del propietario del sitio web;
- Establecer que el solicitante es el propietario del nombre de dominio o tiene control exclusivo sobre el nombre de dominio;
- Confirmar la identidad y la autoridad de las personas que actúan en nombre del propietario del sitio web y que los documentos relacionados con las obligaciones legales estén firmados por un funcionario autorizado;
- Limite la duración de la validez del certificado para asegurarse de que la información del certificado esté actualizada. CA / B Forum también está limitando la reutilización máxima de datos de validación de dominio y datos de la organización a un máximo de 397 días (no debe exceder los 398 días) a partir de marzo de 2020.
Con la excepción [9] de los Certificados de Validación Extendida para dominios .onion , de otra manera no es posible obtener un Certificado de Validación Extendida comodín - en su lugar, todos los nombres de dominio completamente calificados deben ser incluidos en el certificado e inspeccionados por la autoridad certificadora. [10] [11]
Identificación del certificado de validación extendida
Los certificados EV son certificados digitales estándar X.509. La forma principal de identificar un certificado EV es haciendo referencia al campo de extensión Políticas de certificado. Cada emisor utiliza un identificador de objeto (OID) diferente en este campo para identificar sus certificados EV, y cada OID se documenta en la Declaración de prácticas de certificación del emisor. Como ocurre con las autoridades de certificación raíz en general, es posible que los navegadores no reconozcan a todos los emisores.
Los certificados EV HTTPS contienen un asunto con OID X.509 para jurisdictionOfIncorporationCountryName
(OID: 1.3.6.1.4.1.311.60.2.1.3), [12] jurisdictionOfIncorporationStateOrProvinceName
(OID: 1.3.6.1.4.1.311.60.2.1.2) (opcional), [13]jurisdictionLocalityName
(OID: 1.3.6.1.4.1.311.60.2.1.1) (opcional), [14] businessCategory
(OID: 2.5.4.15) [15] y serialNumber
(OID: 2.5.4.5), [16] con el serialNumber
apuntador a la identificación de la secretaria de estado (EE. UU.) o al registrador comercial del gobierno (fuera de EE. UU.) [ cita requerida ] , así como un identificador de política específico de CA para que el software compatible con vehículos eléctricos, como un navegador web, pueda reconocerlos . [17] Este identificador [18] [ verificación fallida ] es lo que define el certificado EV y es la diferencia con el certificado OV.
Protocolo de estado de certificado en línea
Los criterios para emitir certificados de Validación Extendida no requieren que las autoridades emisoras de certificados admitan inmediatamente el Protocolo de estado de certificados en línea para la verificación de revocación. Sin embargo, el requisito de una respuesta oportuna a las comprobaciones de revocación por parte del navegador ha llevado a la mayoría de las autoridades de certificación que no lo habían hecho anteriormente a implementar el soporte OCSP. La sección 26-A de los criterios de emisión requiere que las CA respalden la verificación OCSP para todos los certificados emitidos después del 31 de diciembre de 2010.
Crítica
Nombres de entidades en colisión
Los nombres de las entidades legales no son únicos, por lo tanto, un atacante que quiera hacerse pasar por una entidad podría incorporar una empresa diferente con el mismo nombre (pero, por ejemplo, en un estado o país diferente) y obtener un certificado válido para ello, pero luego usar el certificado para hacerse pasar por el sitio original. En una demostración, un investigador incorporó una empresa llamada "Stripe, Inc." en Kentucky y demostró que los navegadores lo muestran de manera similar a como muestran el certificado del procesador de pagos " Stripe, Inc. " incorporado en Delaware . El investigador afirmó que la instalación de la demostración tomó aproximadamente una hora de su tiempo, US $ 100 en costos legales y US $ 77 por el certificado. Además, señaló que "con suficientes clics del mouse, [el usuario] puede [ver] la ciudad y el estado [donde está incorporada la entidad], pero ninguno de estos es útil para un usuario típico, y es probable que confíe ciegamente el indicador [certificado EV] ". [19]
Disponibilidad para pequeñas empresas
Dado que los certificados EV se están promocionando y notificando [20] como una marca de un sitio web confiable, algunos propietarios de pequeñas empresas han expresado su preocupación [21] de que los certificados EV den una ventaja indebida a las grandes empresas. Los borradores publicados de las Directrices sobre vehículos eléctricos [22] excluían las entidades comerciales no constituidas en sociedad, y los primeros informes de los medios de comunicación [21] se centraban en ese tema. La versión 1.0 de las Directrices de EV se revisó para incluir asociaciones no incorporadas siempre que estuvieran registradas en una agencia reconocida, lo que amplió enormemente el número de organizaciones que calificaron para un Certificado de Validación Extendida. Una lista de certificados EV con comparación de precios y características está disponible para que las pequeñas empresas seleccionen un certificado rentable.
Efectividad contra ataques de phishing con la interfaz de usuario de seguridad de IE7
En 2006, investigadores de la Universidad de Stanford y Microsoft Research llevaron a cabo un estudio de usabilidad [23] de la pantalla EV en Internet Explorer 7 . Su artículo concluyó que "los participantes que no recibieron capacitación en funciones de seguridad del navegador no notaron el indicador de validación extendida y no superaron al grupo de control", mientras que "los participantes a los que se les pidió que leyeran el archivo de ayuda de Internet Explorer tenían más probabilidades de clasificar ambos y sitios falsos como legítimos ".
Los certificados validados por dominio fueron creados por las CA en primer lugar
Si bien los defensores de los certificados EV afirman que ayudan contra los ataques de phishing, [24] el experto en seguridad Peter Gutmann afirma que la nueva clase de certificados restaura las ganancias de una CA que se erosionaron debido a la carrera a la baja que se produjo entre los emisores de la industria. Según Peter Gutmann, los certificados EV no son efectivos contra el phishing porque los certificados EV "no solucionan ningún problema que los phishers estén explotando". Sugiere que las grandes CA comerciales han introducido certificados EV para devolver los antiguos precios altos. [25]
Ver también
- Certificado de autenticación de sitio web calificado
- Seguridad de transporte estricta HTTP
Referencias
- ^ a b "Los certificados de validación extendida están muertos" . Troy Hunt . 2018-09-17 . Consultado el 22 de febrero de 2021 .[ fuente autoeditada ]
- ^ "Directrices del certificado SSL con EV" .
- ^ "¿Cómo podemos mejorar la firma de código?" . eWEEK .
- ^ "¿Qué navegadores admiten Extended Validation (EV) y muestran un indicador EV?" . Symantec . Archivado desde el original el 31 de diciembre de 2015 . Consultado el 28 de julio de 2014 .
- ^ "Google Chrome: eliminación de los indicadores de seguridad y HTTPS" . Ghacks . Consultado el 15 de junio de 2021 .
- ^ Abrams, Lawrence (11 de septiembre de 2019). "Chrome 77 lanzado con indicador de certificado EV eliminado" . Ordenador que suena . Consultado el 14 de junio de 2021 .
- ^ "Indicadores de privacidad y seguridad mejorados en Firefox 70" . Blog de seguridad de Mozilla . Consultado el 17 de octubre de 2019 .
- ^ "Criterios de auditoría" .
- ^ "Boleta 144 - Reglas de validación para nombres de cebollas; Apéndice F, sección 4" . CA / Foro de navegadores . Consultado el 6 de marzo de 2017 .
- ^ "Directrices para la emisión y gestión de certificados de validación ampliada, versión 1.5.2" (PDF) . CA / Foro de navegadores. 2014-10-16. pag. 10 . Consultado el 15 de diciembre de 2014 .
Los certificados comodín no están permitidos para los certificados EV.
- ^ "¿Dónde puedo comprar un certificado SSL con EV Wildcard?" . Recursos SSL de Comodo . 2018-04-20 . Consultado el 22 de febrero de 2021 .
En pocas palabras, no existe un producto EV Wildcard ...
- ^ "Repositorio de OID - 1.3.6.1.4.1.311.60.2.1.3 = {iso (1) organización-identificada (3) dod (6) internet (1) privada (4) empresa (1) 311 ev (60) 2 1 jurisdicciónOfIncorporationCountryName (3)} " . oid-info.com . Consultado el 31 de julio de 2019 .
- ^ "Repositorio de OID - 1.3.6.1.4.1.311.60.2.1.2 = {iso (1) organización-identificada (3) dod (6) internet (1) privada (4) empresa (1) 311 ev (60) 2 1 jurisdiccionOfIncorporationStateOrProvinceName (2)} " . oid-info.com . Consultado el 31 de julio de 2019 .
- ^ "Repositorio de OID - 1.3.6.1.4.1.311.60.2.1.1 = {iso (1) organización-identificada (3) dod (6) internet (1) privada (4) empresa (1) 311 ev (60) 2 1 jurisdicciónOfIncorporationLocalityName (1)} " . oid-info.com . Consultado el 31 de julio de 2019 .
- ^ "Repositorio OID - 2.5.4.15 = {joint-iso-itu-t (2) ds (5) attributeType (4) businessCategory (15)}" . oid-info.com . Consultado el 31 de julio de 2019 .
- ^ "Repositorio OID - 2.5.4.5 = {joint-iso-itu-t (2) ds (5) attributeType (4) serialNumber (5)}" . oid-info.com . Consultado el 31 de julio de 2019 .
- ^ Wilson, Ben. "Contenido del certificado EV" . Foro CAB . Consultado el 31 de julio de 2019 .
- ^ "cert / ev_root_ca_metadata.cc - chromium / src / net - Git en Google" . chromium.googlesource.com . Consultado el 1 de agosto de 2019 .
- ^ Goodin, Dan (12 de diciembre de 2017). "No, este no es el sitio web de Stripe validado por HTTPS que crees que es" . Ars Technica . Consultado el 19 de diciembre de 2018 .
- ^ Evers, Joris (2 de febrero de 2007). "IE 7 da luz verde a los sitios web seguros" . CNet . Consultado el 27 de febrero de 2010 .
La barra de direcciones de color, una nueva arma en la lucha contra las estafas de suplantación de identidad (phishing), pretende ser una señal de que se puede confiar en un sitio, dando luz verde a los internautas para realizar transacciones allí.
- ^ a b Richmond, Riva (19 de diciembre de 2006). "Software para detectar 'phishers' irrita pequeñas preocupaciones" . El Wall Street Journal . Archivado desde el original el 15 de abril de 2008 . Consultado el 27 de febrero de 2010 .
- ^ https://www.cabforum.org/Guidelines_v1_2.pdf Archivado el 29 de febrero de 2012 en Wayback Machine
- ^ Jackson, Collin; Daniel R. Simon; Desney S. Tan; Adam Barth. "Una evaluación de los ataques de phishing de imagen en imagen y validación extendida" (PDF) . Seguridad utilizable 2007 .
- ^ "Preguntas comunes sobre SSL con EV de validación extendida" . DigiCert, Inc . Consultado el 15 de mayo de 2013 .
- ^ Gutmann, Peter (2014). Seguridad de ingeniería (PDF) . pag. 73 . Consultado el 13 de marzo de 2015 .
enlaces externos
- Sitio web CA / Browser Forum
- Candado verde de Firefox para certificados EV