跳至內容

擴展驗證證書

本頁使用了標題或全文手工轉換
維基百科,自由的百科全書

擴展驗證證書(Extended Validation Certificate,簡稱「EV證書」)是一種根據一系列特定標準頒發的X.509電子證書。根據要求,在頒發證書之前,證書發行機構(CA)必須要驗證申請者的身份。不同機構根據證書標準發行的擴展驗證證書並無太大差異,但是有的時候根據一些具體的要求,特定機構發行的證書可以被特定的軟件所識別。

《擴展驗證證書指南》[1]被認為是擴展驗證證書的發行標準,其制定者是CA/瀏覽器論壇[2]——一個由證書發行機構和網絡軟件開發者組成的非營利機構,此外,一些法律審計方面的專業人士也參與其中[3]

歷史

[編輯]

2005年,梅利赫·阿卜杜勒哈伊奧盧召開了首屆證書發行機構/瀏覽器論壇會議以期提升SSL證書的發行標準[4]。2007年6月12日,該機構正式批准了首個擴展驗證證書指南並立即生效,近兩年的努力建立了網站身份認證制度的架構。2008年4月,該機構發布了《擴展驗證證書指南》1.1版,該版本借鑑了證書發行機構和網絡軟件開發者在首個指南發行並啟用後所積累的一些實際經驗。

動機

[編輯]

在SSL連接中使用數字證書的一個重要動機是通過證書發行機構對網站持有者的身份審核並頒發證書從而使連接受到信任。但是迫於商業競爭所帶來的壓力,一些證書發行機構推出了僅驗證域名所有權(而不是域名持有者身份)的證書,在頒發這種證書之前,證書發行機構只進行了很少的認證工作並在在證書中包含的認證信息也很少。

大多數瀏覽器界面並不會很明顯地標識出只經過簡單認證的證書和經過嚴格認證的證書的區別,任何被驗證成功的證書都會使瀏覽器顯示出一個鎖形圖標。因此,用戶很難知道他們所訪問的網站是否已經經過了嚴格認證。結果,一些詐騙網站和釣魚網站也開始使用SSL證書以騙取受害者的信任。通過建立更嚴格的簽發標準並要求所有成員機構持續地支持,擴展驗證證書被寄希望於恢復用戶對於網站持有者合法性的信心。

此外,因證書問責制度的缺乏而使公信力缺失的情況也受到關注,這也將使擴展驗證證書的價值受損[5]

簽發標準

[編輯]

只有通過獨立的網絡信任審核的證書發行機構才能頒發擴展驗證證書,全球範圍內的證書發行機構都必須遵循同樣詳細的簽發要求以便於:

  • 確認網站及其所有者的合法性;
  • 確認申請者是對應網站的域名持有人並且可以獨立地控制該域名;
  • 確認網站持有者的身份並且審查由具有相應權限的政府官員簽發的有關其法律義務的文件。

另外,擴展驗證證書中不能包含通配符

用戶界面

[編輯]
用較舊的瀏覽器訪問一個啟用了擴展驗證證書的網站時,其地址欄通常會顯示一個綠色鎖形圖標並可以顯示出網站持有者的相關信息。
較新版本的 Firefox 瀏覽器已經將 EV 標識從地址欄隱藏,並去除了綠色高亮。

《擴展驗證證書》要求一旦證書發行機構通過了獨立的審計和其它一些步驟[6],證書發行機構必須對擴展驗證證書分配獨立的被瀏覽器開發者承認的證書驗證人。

歷史上瀏覽器在工作時將匹配SSL證書和證書發行者,如果成功,SSL證書將在用戶界面中獲得更加明顯的顯示並且包含如下內容:

  • 證書持有者的公司或其他實體的名稱;
  • 證書發行機構的名稱;

此外,當時大多數瀏覽器還會再在地址欄中顯示一種獨特的顏色(通常為綠色)以表示已收到一個擴展驗證證書。

從 Firefox 70[7] 以及 Google Chrome 77[8] 開始,擴展驗證證書信息被默認隱藏,需要額外點擊才能顯示

兼容性

[編輯]

桌面瀏覽器

[編輯]

大多數擴展驗證證書可以被下列瀏覽器所兼容[9]

技術細節

[編輯]

擴展驗證證書是標準的X.509數字證書。鑑定擴展驗證證書的基本方法是參考證書規則的擴展域。每個證書籤發者會在他們簽發的證書的域中放入一個獨特的對象標識符,每個對象標識符包括了發行者的認證聲明。瀏覽器可能不能識別所有的證書發行機構。

在線證書狀態協議

[編輯]

擴展驗證證書的簽發標準並不要求發行機構立即支持在線證書狀態協議的證書吊銷檢查。但是,及時的由瀏覽器進行的吊銷檢查已經驅使大多數的發行機構支持該項檢查以提升對在線證書狀態協議的支持。簽發標準中的第26A章節已經要求所有發行者自2011年1月1日起對所有證書支持該項協議。

爭議

[編輯]

對小企業的可用性

[編輯]

自從擴展驗證證書被報道成一種可信任網站的標誌[10],一些小企業主已經開始對其給予大企業過多的好處表示關注[11]。已經出版的《擴展驗證證書指南》1.2版的草稿已經除去了非法人商業實體,這引起了一些媒體的關注[11][12]。《擴展驗證證書指南》1.0版被修訂以便包括已註冊並被承認的的非法人機構,這極大地擴展了有資格擁有擴展驗證證書的機構的數量[13]

是否能有效阻止釣魚網站

[編輯]

2006年,斯坦福大學微軟研究院進行了一項針對在IE7中擴展驗證證書的可用性的研究[14],該測試得出結論「未經過瀏覽器安全功能訓練的用戶並不會注意到界面中的擴展驗證證書提示且未能超越對照組」。此外,「讀過IE幫助文件的人更可能把真的或假的網站都認為是合法的」。

參見

[編輯]

參考資料

[編輯]
  1. ^ EV SSL Certificate Guidelines - CAB Forum頁面存檔備份,存於網際網路檔案館(英文)
  2. ^ About the CA/Browser Forum - CAB Forum頁面存檔備份,存於網際網路檔案館(英文)
  3. ^ Members of the CA / Browser Forum - Over 30 CAs and All Major Browsers頁面存檔備份,存於網際網路檔案館(英文)
  4. ^ Larry Seltzer. How Can We Improve Code Signing?. eWeek.com. [2012-07-10].  (英文)
  5. ^ Hagai Bar-El. The Inevitable Collapse of the Certificate Model. Hagai Bar-El on Security. [2016-09-02]. (原始內容存檔於2020-07-31).  (英文)
  6. ^ Audit Criteria - CAB Forum頁面存檔備份,存於網際網路檔案館(英文)
  7. ^ 1572936 - Move EV cert UI out of URL Bar. bugzilla.mozilla.org. [2020-02-11]. (原始內容存檔於2020-11-12) (英語). 
  8. ^ Log - 77.0.3865.75 - chromium/src - Git at Google. chromium.googlesource.com. [2020-02-11]. 
  9. ^ What browsers support Extended Validation (EV) and display an EV indicator? | Symantec. [2016-09-02]. (原始內容存檔於2016-09-15). 
  10. ^ 騰訊財經. EV证书介绍. [2012-07-11]. (原始內容存檔於2016-09-21).  (簡體中文)
  11. ^ 11.0 11.1 Riva Richmond. Software to Spot 'Phishers' Irks Small Concerns. 華爾街日報. [2012-07-11]. (原始內容存檔於2008-04-15).  (英文)
  12. ^ 擴展驗證證書指南1.2版頁面存檔備份,存於網際網路檔案館(英文)
  13. ^ 擴展驗證證書指南1.0版頁面存檔備份,存於網際網路檔案館(英文)
  14. ^ Jackson, Collin; Daniel R. Simon, Desney S. Tan, Adam Barth. An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks (PDF). [2012-07-11]. (原始內容存檔 (PDF)於2021-03-14).  (英文)