it-swarm.dev

Quali sono i vantaggi del certificato EV?

Quali sono i vari vantaggi dell'utilizzo di certificati di validazione estesa (EV rispetto ai normali certificati che forniscono anche un grado di crittografia relativamente elevato come RC4, 128 Bit?

So che il browser mostra la bandiera verde per i certificati EV. Ma c'è qualche altro vantaggio oltre a quello?

38
Novice User

I certificati di convalida estesa hanno lo scopo di mostrare all'utente in modo più visibile l'istituzione alla quale sono stati rilasciati. Gli aspetti tecnici dei certificati stessi sono combinati con indizi visivi nell'interfaccia utente dell'applicazione che li verifica: la barra verde e un nome visibile accanto alla barra degli indirizzi nel browser.

Ad esempio, il certificato EV su http://www.Paypal.com/ mostrerà al browser una barra verde e visualizzerà "Paypal, Inc." Vicino a esso. Questo è progettato non solo per collegare il certificato al proprietario del dominio (come fanno i certificati standard convalidati dal dominio), ma anche per collegarlo a un istituto più fisico (qui, Paypal, Inc.). Per fare ciò, la CA deve verificare che l'istituzione nominata sia effettivamente quella proprietaria del dominio.

In definitiva, si tratta più di creare un collegamento più autenticato tra il nome di dominio e il nome della società piuttosto che creare certificati "più sicuri". Dal punto di vista della suite di crittografia (che è ciò che determina l'algoritmo di crittografia e la dimensione della chiave), i certificati EV non sono diversi dai certificati DV (barra blu).

Facendo un passo indietro, è necessario rendersi conto che l'efficacia di HTTPS si basa sul controllo da parte dell'utente del corretto utilizzo. (Il server non ha modo di scoprire se il client è vittima di un attacco MITM altrimenti, a meno che non utilizzi anche i certificati client.) Ciò significa che gli utenti devono:

  • controlla che HTTPS sia usato quando si aspettano che lo sia,
  • controlla che non ci siano avvisi,
  • verifica che il sito Web che stanno utilizzando sia effettivamente quello che intendono visitare, il che porta a un paio di punti secondari:
    • verificando che sia il nome di dominio che si aspettano,
    • verificando che il nome di dominio appartenga alla società che si aspettano.

I certificati EV intendono risolvere l'ultimo punto secondario. Se sai già che Amazon.com appartiene ad Amazon.com, Inc. o che google.com appartiene a Google Inc., non ne hai davvero bisogno.

Personalmente non sono convinto che questo approccio funzioni completamente, dal momento che possono essere utilizzati in modo improprio (vedi l'esempio NatWest/RBS di seguito) e alcune CA sembrano diffondere informazioni vaghe (e potenzialmente fuorvianti) su ciò che sono realmente, nel tentativo di promuovere loro.

In generale, se i tuoi utenti sanno già che il tuo nome di dominio è tuo, non ne hai davvero bisogno.

Ecco altri dettagli da un risposta precedente che ho dato a una domanda simile :

[...]

I certificati convalidati dal dominio ti garantiscono che il certificato è stato emesso al proprietario di quel dominio. Niente di più, ma niente di meno (suppongo che la procedura di convalida sia stata corretta qui). In molti casi, questo è sufficiente. Tutto dipende dal fatto che il sito Web che stai promuovendo debba essere collegato a un'istituzione che è già ben nota off-line. I certificati convalidati contro un'organizzazione (certificati OV ed EV) sono utili soprattutto quando è necessario associare il dominio anche a un'organizzazione fisica.

Ad esempio, è utile che un'istituzione inizialmente conosciuta tramite il suo edificio (ad esempio Bank of America) sia in grado di dire che un certificato per bankofamerica.com è davvero per il luogo in cui hai dato i tuoi soldi fisici. In questo caso, ha senso utilizzare un certificato OV o EV. Questo può anche essere utile se esiste un'ambiguità riguardo a quale istituzione si trova dietro il nome di dominio (ad esempio Apple.com e Apple.co.uk), che è ancora più importante è che il nome di dominio simile è di proprietà di un rivale/attaccante che usa il nome di somiglianza per scopi sbagliati.

In contrasto, www.google.com è ciò che definisce Google al pubblico; Google non ha bisogno di dimostrare che google.com appartiene al vero Google. Di conseguenza, utilizza un certificato convalidato dal dominio (lo stesso per Amazon.com).

Ancora una volta, questo è davvero utile se l'utente sa come controllarlo. I browser non aiutano davvero qui. Firefox dice "che è gestito da (sconosciuto)" se vuoi maggiori dettagli sul certificato in www.google.com, senza dire veramente cosa si intende con questo.

I certificati di convalida estesa sono un tentativo di migliorare ciò, rendendo più rigorosa la procedura di convalida dell'organizzazione e rendendo più visibile il risultato: barra verde e organizzazione più visibile.

Purtroppo, a volte questo è usato in un modo che aumenta la confusione, penso. Ecco un esempio che puoi verificare da solo: una delle grandi banche del Regno Unito (NatWest) utilizza il https://www.nwolb.com/ per i suoi servizi bancari online. È tutt'altro che ovvio che il nome di dominio appartiene a NatWest (che possiede anche il più logico natwest.co.uk nome, a proposito). Peggio ancora, la convalida estesa (se si controlla il nome vicino alla barra verde) viene eseguita contro "Royal Bank of Scotland Group plc".

Per coloro che seguono le notizie finanziarie, ha senso perché sia ​​RBS che NatWest appartengono allo stesso gruppo, ma tecnicamente RBS e NatWest sono concorrenti (ed entrambi hanno filiali sulla strada principale nel Regno Unito, anche se questo cambierà). Se il tuo utente non ha quella conoscenza aggiuntiva su quali gruppi commerciano con quale nome, il fatto che un certificato venga rilasciato al nome di un potenziale concorrente dovrebbe suonare campanelli d'allarme. Se, come utente, hai visto un certificato su gooooogle.com rilasciato a Microsoft o Yahoo, per quanto la barra sia verde, non dovresti trattarla come il sito di Google.

Un punto da tenere a mente con i certificati EV è che la loro configurazione è codificata nei browser . Questa è un'impostazione in fase di compilazione, che non può essere configurata in un secondo momento (a differenza dei normali archivi di certificati attendibili, dove è possibile aggiungere il proprio certificato CA istituzionale, ad esempio). Da un punto di vista più cinico, alcuni potrebbero considerare questo come un modo conveniente per i principali attori di mantenere una posizione di forza nel mercato.

43
Bruno

Dovrebbero trasmettere all'utente ulteriore fiducia che l'autorità di certificazione abbia svolto correttamente il proprio lavoro. Lo scopo principale dei certificati di convalida estesi, tuttavia, è proprio quello di generare entrate extra per le autorità di certificazione.

Va bene, abbastanza per lo snarky, in sostanza devono seguire queste linee guida prima di emetterne una: EV Certificate Guidelines v.1. . Copre cose come la necessità di verificare la registrazione e l'indirizzo dell'azienda/organizzazione e per ottenere l'accesso alle chiavi di firma è necessaria un'autenticazione a due fattori e ogni cosa è meticolosamente registrata.

13
ewanm89

Tutte le autorità di certificazione (CA) ritenute affidabili dai principali fornitori di applicazioni devono seguire i requisiti di base pubblicati da CABForum per l'emissione di certificati TLS. Le autorità di certificazione che desiderano emettere certificati di convalida estesa (EV) devono seguire, ed essere verificate annualmente, una serie aggiuntiva di linee guida e requisiti di convalida prima che il loro certificato EV sia considerato attendibile e riconosciuto da qualsiasi browser. Le CA che emettono certificati EV devono essere vincolate a $ 1 milione e devono inserire il nome legale, il luogo di costituzione, l'indirizzo e il numero di registrazione (per le banche questo è talvolta il numero di registrazione FDIC) nel certificato. Quindi, sebbene possa sembrare che i certificati EV siano semplicemente un modo per le autorità di certificazione di addebitare più denaro, vi sono più rischi e ricerche per convalidare l'autenticità e l'autorizzazione dell'abbonato.

0
sophist2b