El certificado EV SSL ( Extended Validation - verificación extendida) es un tipo de certificado, para el cual es necesario confirmar en la autoridad de certificación la existencia de la empresa a cuyo nombre se emite , así como el hecho de que esta empresa posee el dominio certificado. nombres
Los navegadores informaron a los usuarios que el sitio web tenía un certificado EV SSL. Mostraron el nombre de la empresa en lugar del nombre de dominio, o colocaron el nombre de la empresa uno al lado del otro. Sin embargo, los desarrolladores de navegadores posteriores anunciaron que tenían planes para desactivar esta función [1] .
Los certificados EV utilizan los mismos métodos de seguridad que los certificados DV, IV y OV: la necesidad de confirmar la existencia de la empresa en la autoridad certificadora proporciona un mayor nivel de seguridad.
Los criterios para la emisión de certificados EV están definidos por un documento especial: Pautas para la validación extendida [2] (Pautas para la validación extendida), actualmente (a partir del 1 de agosto de 2019) la versión de este documento es 1.7.0. Las directrices han sido desarrolladas por CA/Browser Forum, una organización cuyos miembros incluyen autoridades de certificación y proveedores de software de Internet, así como miembros de las profesiones jurídicas y de auditoría [3] .
En 2005, el director ejecutivo de Comodo Group , Melih Abdulhayoglu , convocó la primera reunión de lo que se convertiría en CA/Browser Forum. El objetivo de la reunión fue mejorar los estándares para la emisión de certificados SSL/TLS [4] . El 12 de junio de 2007, CA/Browser Forum ratificó formalmente la primera versión de las Directrices de revisión ampliadas y el documento entró en vigencia de inmediato. La aprobación formal ha llevado a la finalización del trabajo para proporcionar la infraestructura para identificar sitios web confiables en Internet. Luego, en abril de 2008, CA/Browser Forum anunció una nueva versión de la Guía (1.1). La nueva versión se basó en la experiencia de las autoridades de certificación y los fabricantes de software.
Una motivación importante para usar certificados digitales con SSL/TLS es aumentar la confianza en las transacciones en línea. Esto requiere que los operadores de sitios web sean verificados para obtener un certificado.
Sin embargo, la presión comercial ha llevado a algunas CA a introducir certificados de nivel inferior (validación de dominio). Los certificados de validación de dominio existían antes de la validación extendida y, por lo general, solo requieren alguna prueba de control de dominio para obtenerlos. En particular, los certificados de validación de dominio no establecen que la entidad legal dada tenga alguna relación con el dominio, aunque el sitio mismo puede decir que pertenece a la entidad legal.
Al principio, las interfaces de usuario de la mayoría de los navegadores no distinguían entre validación de dominio y certificados de validación extendida . Debido a que cualquier conexión SSL/TLS exitosa resultó en la aparición de un ícono de candado verde en la mayoría de los navegadores, era poco probable que los usuarios supieran si un sitio tenía una validación extendida o no; sin embargo, a partir de octubre de 2020, todos los principales navegadores eliminaron los íconos EV. Como resultado, los estafadores (incluidos los involucrados en phishing ) podrían usar TLS para aumentar la confianza en sus sitios web. Los usuarios del navegador pueden verificar la identidad de los titulares de certificados examinando la información sobre el certificado emitido que se especifica en él (incluido el nombre de la organización y su dirección).
Las certificaciones EV se validan tanto con los requisitos básicos como con los requisitos avanzados. Se requiere verificación manual de los nombres de dominio solicitados por el solicitante, verificación contra fuentes oficiales del gobierno, verificación contra fuentes de información independientes y llamadas telefónicas a la empresa. Si se ha emitido el certificado, se almacena en él el número de serie de la empresa registrada por la autoridad certificadora, así como la dirección física.
Los certificados EV están destinados a aumentar la confianza del usuario en que el operador de un sitio web es una entidad verdaderamente existente [5] .
Sin embargo, todavía existe la preocupación de que la misma falta de rendición de cuentas que condujo a la pérdida de la confianza pública en el certificado DV provoque la pérdida del valor de los certificados EV [6] .
Solo las CA auditadas calificadas por terceros pueden ofrecer certificados EV [7] y todas las CA deben cumplir con los requisitos de emisión que tienen como objetivo:
Con la excepción de [8] certificados EV para dominios .onion , no es posible obtener un certificado comodín con Extended Validation; en su lugar, todos los FQDN deben incluirse en el certificado y ser validados por una CA [9] .
Los navegadores que admiten EV muestran información de que existe un certificado EV: por lo general, al usuario se le muestra el nombre y la ubicación de la organización cuando visualiza la información sobre el certificado. Los navegadores Microsoft Internet Explorer , Mozilla Firefox , Safari , Opera y Google Chrome son compatibles con EV.
Las reglas de Extended Validation requieren que las CA participantes asignen una ID de EV específica después de que la CA haya completado una auditoría independiente y haya cumplido con otros criterios. Los navegadores recuerdan este identificador, hacen coincidir el identificador EV en el certificado con el del navegador para la autoridad de certificación en cuestión: si coinciden, el certificado se reconoce como válido. En muchos navegadores, la presencia de un certificado EV se señala mediante:
Al hacer clic en el "candado", puede obtener más información sobre el certificado, incluido el nombre de la autoridad de certificación que emitió el certificado EV.
Los siguientes navegadores definen un certificado EV: [11] :
La validación extendida es compatible con todos los servidores web siempre que admitan HTTPS .
Los certificados EV son certificados digitales estándar X.509 . La forma principal de identificar un certificado EV es consultar el campo Políticas de certificados . Cada autoridad emisora de certificados utiliza su identificador (OID) para identificar sus certificados EV, y la autoridad certificadora documenta cada OID. Al igual que con las CA raíz, es posible que los navegadores no reconozcan a todos los que emiten certificados.
| Editor | OID | Declaración de Prácticas de Certificación |
|---|---|---|
| Actalis | 1.3.159.1.17.1 | Actalis CPS v2.3 , |
| AfirmarConfianza | 1.3.6.1.4.1.34697.2.1 | AffirmTrust CPS v1.1 , pág. cuatro |
| 1.3.6.1.4.1.34697.2.2 | ||
| 1.3.6.1.4.1.34697.2.3 | ||
| 1.3.6.1.4.1.34697.2.4 | ||
| Una confianza | 1.2.40.0.17.1.22 | a.firma SSL EV CPS v1.3.4 |
| pase de compra | 2.16.578.1.26.1.3.3 | Buypass Clase 3 EV CPS |
| Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2 | Camerfirma CPS v3.2.3 |
| 1.3.6.1.4.1.17326.10.8.12.1.2 | ||
| Grupo Comodo | 1.3.6.1.4.1.6449.1.2.1.5.1 | Comodo EV CPS , pág. 28 |
| Certificación digital | 2.16.840.1.114412.2.1 | DigiCert EV CPS v. 1.0.3 , pág. 56 |
| 2.16.840.1.114412.1.3.0.2 | ||
| DigiNotar (no funciona [12] ) | 2.16.528.1.1001.1.1.1.12.6.1.1.1 | N / A |
| D-CONFIANZA | 1.3.6.1.4.1.4788.2.202.1 | D-CONFIANZA CP |
| E Tugra | 2.16.792.3.0.4.1.1.4 | Declaración de prácticas de certificación (CPS) de E-Tugra (enlace no disponible) , p. 2 |
| Confiar | 2.16.840.1.114028.10.1.2 | Confiar EV CPS |
| ETSI | 0.4.0.2042.1.4 | ETSI TS 102 042 V2.4.1 , pág. Dieciocho |
| 0.4.0.2042.1.5 | ||
| profesional firme | 1.3.6.1.4.1.13177.10.1.3.10 | Certificados de servidor web seguro SSL , pág. 6 |
| GeoTrust | 1.3.6.1.4.1.14370.1.6 | GeoTrust EV CPS v. 2.6 , pág. 28 |
| GlobalSign | 1.3.6.1.4.1.4146.1.1 | Repositorio GlobalSign CP/CPS |
| Ve papi | 2.16.840.1.114413.1.7.23.3 | Repositorio CP/CPS de Go Daddy |
| Izenpe | 1.3.6.1.4.1.14777.6.1.1 | DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV Archivado el 30 de abril de 2015 en Wayback Machine . |
| Kamu Sertifikasyon Merkezi | 2.16.792.1.2.1.1.5.7.1.9 | TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE |
| Logius PKI overheid | 2.16.528.1.1003.1.2.7 | CPS PA PKIoverheid Raíz de validación extendida v1.5 |
| Soluciones de red | 1.3.6.1.4.1.782.1.2.1.8.1 | Soluciones de red EV CPS v. 1.1 , 2.4.1 |
| OpenTrust/DocuSign Francia | 1.3.6.1.4.1.22234.2.5.2.3.1 | Versión de la política de certificados de CA de validación extendida de SSL |
| QuoVadis | 1.3.6.1.4.1.8024.0.2.100.1.2 | QuoVadis Root CA2 CP/CPS , pág. 34 |
| Sistemas de confianza SECOM | 1.2.392.200091.100.721.1 | SECOM Trust Systems EV CPS Archivado el 24 de julio de 2011 en Wayback Machine (en japonés), pág. 2 |
| ELLA CA | 1.2.156.112570.1.1.3 | SHECA EV CPS |
| Tecnologías de campo estelar | 2.16.840.1.114414.1.7.23.3 | Starfield EV CPS |
| Autoridad de certificación de StartCom | 1.3.6.1.4.1.23223.2 | StartCom CPS , no. cuatro |
| 1.3.6.1.4.1.23223.1.1.1 | ||
| swisscom | 2.16.756.1.83.21.0 | Swisscom Root EV CA 2 CPS (en alemán), pág. 62 |
| signo suizo | 2.16.756.1.89.1.2.1.1 | SwissSign Gold CP/CPS |
| Sistemas T | 1.3.6.1.4.1.7879.13.24.1 | Pase de servidor CP/CPS TeleSec v. 3.0 , pág. catorce |
| descongelar | 2.16.840.1.113733.1.7.48.1 | Thawte EV CPS v. 3.3 , pág. 95 |
| onda de confianza | 2.16.840.1.114404.1.1.2.4.1 | Trustwave EV CPS [1] |
| Symantec ( Veri Sign ) | 2.16.840.1.113733.1.7.23.6 | CPS para vehículos eléctricos de Symantec |
| Verizon Business (anteriormente Cybertrust) | 1.3.6.1.4.1.6334.1.100.1 | Cybertrust CPS v.5.2 Archivado el 15 de julio de 2011 en Wayback Machine , p. veinte |
| pozos fargo | 2.16.840.1.114171.500.9 | CPS de WellsSecure PKI [2] |
| WoSign | 1.3.6.1.4.1.36305.2 | WoSign CPS V1.2.4 , pág. 21 |
Los certificados EV se concibieron como una forma de demostrar la confiabilidad de un sitio [13] , pero algunas pequeñas empresas consideraron [14] que los certificados EV solo podían brindar una ventaja a las grandes empresas. La prensa notó que existen obstáculos para obtener un certificado [14] . La versión 1.0 se revisó para permitir el registro de certificados EV, incluidas las pequeñas empresas, lo que aumentó la cantidad de certificados emitidos.
En 2006, científicos de la Universidad de Stanford y Microsoft Research realizaron una investigación sobre cómo se mostraban los certificados EV [15] en Internet Explorer 7 . Según los resultados del estudio, "las personas que no conocían los navegadores no prestaron atención a EV SSL y no pudieron obtener mejores resultados que el grupo de control". Al mismo tiempo, "los participantes a los que se les pidió que leyeran el archivo de ayuda querían aceptar tanto los sitios reales como los sitios falsos como correctos".
Cuando se habla de EV, afirman que estos certificados ayudan a proteger contra el phishing [16] , pero el experto neozelandés Peter Gutman cree que, de hecho, el efecto en la lucha contra el phishing es mínimo. En su opinión, los certificados EV son solo una forma de hacer que la gente pague más [17] .
Los nombres de las empresas pueden ser los mismos. El atacante puede registrar su propia empresa con el mismo nombre, crear un certificado SSL y hacer que el sitio se vea como el original. El científico creó la empresa "Stripe, Inc." en Kentucky y notó que la inscripción en el navegador es muy similar a la inscripción de la empresa Stripe, Inc, ubicada en Delaware . El científico calculó que solo le costó $177 registrar dicho certificado ($100 por registrar una empresa y $77 por un certificado). Observó que con unos pocos clics del mouse, puede ver la dirección de registro del certificado, pero la mayoría de los usuarios no harán esto: simplemente prestarán atención a la barra de direcciones del navegador [18] .
Otro uso de los certificados EV, además de proteger sitios, es la firma del código de programas, aplicaciones y controladores. Con la ayuda de un certificado de firma de código EV especializado, el desarrollador firma su código, lo que confirma su autoría y hace que sea imposible realizar cambios no autorizados.
En las versiones modernas del sistema operativo Windows, un intento de ejecutar archivos ejecutables sin una firma de firma de código da como resultado la visualización de un componente de seguridad SmartScreen que advierte sobre un editor no confirmado. Muchos usuarios en esta etapa, por temor a una fuente insegura, pueden negarse a instalar el programa, por lo que tener un certificado EV de firma de código firmado aumenta la cantidad de instalaciones exitosas. [19]
BenWilson. Criterios de auditoría . Foro CAB. Recuperado: 23 Agosto 2019.