擴充驗證憑證(Extended Validation Certificate,簡稱:EV憑證)是一種根據一系列特定標準頒發的X.509電子憑證。根據要求,在頒發憑證之前,憑證發行機構(CA)必須要驗證申請者的身分。不同機構根據憑證標準發行的擴充驗證憑證並無太大差異,但是有的時候根據一些具體的要求,特定機構發行的憑證可以被特定的軟體所辨識。
《擴充驗證憑證指南》[1]被認為是擴充驗證憑證的發行標準,其制定者是CA/瀏覽器論壇[2]——一個由憑證發行機構和網路軟體開發者組成的非營利機構,此外,一些法律和審計方面的專業人士也參與其中[3]。
歷史
2005年,米勒夫·阿杜勒哈尤格魯(Melih Abdulhayoğlu)召開了首屆憑證發行機構/瀏覽器論壇會議以期提升SSL憑證的發行標準[4]。2007年6月12日,該機構正式批准了首個擴充驗證憑證指南並立即生效,近兩年的努力建立了網站身分認證制度的架構。2008年4月,該機構發布了《擴充驗證憑證指南》1.1版,該版本借鑑了憑證發行機構和網路軟體開發者在首個指南發行並啟用後所積累的一些實際經驗。
動機
在SSL連接中使用數位憑證的一個重要動機是通過憑證發行機構對網站持有者的身分稽核並頒發憑證從而使連接受到信任。但是迫於商業競爭所帶來的壓力,一些憑證發行機構推出了僅驗證域名所有權(而不是域名持有者身分)的憑證,在頒發這種憑證之前,憑證發行機構只進行了很少的認證工作並在在憑證中包含的認證資訊也很少。
大多數瀏覽器的介面並不會很明顯地標識出只經過簡單認證的憑證和經過嚴格認證的憑證的區別,任何被驗證成功的憑證都會使瀏覽器顯示出一個鎖形圖示。因此,使用者很難知道他們所存取的網站是否已經經過了嚴格認證。結果,一些詐騙網站和釣魚網站也開始使用SSL憑證以騙取受害者的信任。通過建立更嚴格的簽發標準並要求所有成員機構持續地支援,擴充驗證憑證被寄希望於恢復使用者對於網站持有者合法性的信心。
此外,因憑證問責制度的缺乏而使公信力缺失的情況也受到關注,這也將使擴充驗證憑證的價值受損[5]。
簽發標準
只有通過獨立的網路信任稽核的憑證發行機構才能頒發擴充驗證憑證,全球範圍內的憑證發行機構都必須遵循同樣詳細的簽發要求以便於:
- 確認網站及其所有者的合法性;
- 確認申請者是對應網站的域名持有人並且可以獨立地控制該域名;
- 確認網站持有者的身分並且審查由具有相應權限的政府官員簽發的有關其法律義務的檔案。
另外,擴充驗證憑證中不能包含萬用字元。
使用者介面
《擴充驗證憑證》要求一旦憑證發行機構通過了獨立的審計和其它一些步驟[6],憑證發行機構必須對擴充驗證憑證分配獨立的被瀏覽器開發者承認的憑證驗證人。
歷史上瀏覽器在工作時將匹配SSL憑證和憑證發行者,如果成功,SSL憑證將在使用者介面中獲得更加明顯的顯示並且包含如下內容:
- 憑證持有者的公司或其他實體的名稱;
- 憑證發行機構的名稱;
此外,當時大多數瀏覽器還會再在網址列中顯示一種獨特的顏色(通常為綠色)以表示已收到一個擴充驗證憑證。
從 Firefox 70[7]以及 Google Chrome 77[8]開始,擴充驗證憑證資訊被預設隱藏,需要額外點擊才能顯示
相容性
桌面瀏覽器
- Safari 3.2及以上
- Internet Explorer 7及以上
- Microsoft Edge 12及以上
- Firefox 3.0及以上
- Opera 9.5及以上
- Google Chrome 1.0及以上
技術細節
擴充驗證憑證是標準的X.509數位憑證。鑑定擴充驗證憑證的基本方法是參考憑證規則的擴充域。每個憑證簽發者會在他們簽發的憑證的域中放入一個獨特的物件識別碼,每個物件識別碼包括了發行者的認證聲明。瀏覽器可能不能辨識所有的憑證發行機構。
線上憑證狀態協定
擴充驗證憑證的簽發標準並不要求發行機構立即支援線上憑證狀態協定的憑證吊銷檢查。但是,及時的由瀏覽器進行的吊銷檢查已經驅使大多數的發行機構支援該項檢查以提升對線上憑證狀態協定的支援。簽發標準中的第26A章節已經要求所有發行者自2011年1月1日起對所有憑證支援該項協定。
爭議
對小企業的可用性
自從擴充驗證憑證被報導成一種可信任網站的標誌[10],一些小企業主已經開始對其給予大企業過多的好處表示關注[11]。已經出版的《擴充驗證憑證指南》1.2版的草稿已經除去了非法人商業實體,這引起了一些媒體的關注[11][12]。《擴充驗證憑證指南》1.0版被修訂以便包括已註冊並被承認的的非法人機構,這極大地擴充了有資格擁有擴充驗證憑證的機構的數量[13]。
是否能有效阻止釣魚網站
2006年,史丹福大學和微軟研究院進行了一項針對在IE7中擴充驗證憑證的可用性的研究[14],該測試得出結論「未經過瀏覽器安全功能訓練的使用者並不會注意到介面中的擴充驗證憑證提示且未能超越對照組」。此外,「讀過IE幫助檔案的人更可能把真的或假的網站都認為是合法的」。
參見
- 超文字傳輸安全協定(HTTPS)
- HTTP嚴格傳輸安全(HSTS)
- 傳輸層安全 (TLS)
- 數位憑證認證機構 (CA)
參考資料
- ↑ EV SSL Certificate Guidelines - CAB Forum (英文)
- ↑ About the CA/Browser Forum - CAB Forum (英文)
- ↑ Members of the CA / Browser Forum - Over 30 CAs and All Major Browsers (英文)
- ↑ Larry Seltzer. How Can We Improve Code Signing?. eWeek.com. [2012-07-10]. (英文)
- ↑ Hagai Bar-El. The Inevitable Collapse of the Certificate Model. Hagai Bar-El on Security. [2016-09-02]. (英文)
- ↑ Audit Criteria - CAB Forum (英文)
- ↑ 1572936 - Move EV cert UI out of URL Bar. bugzilla.mozilla.org. [2020-02-11] (英語).
- ↑ Log - 77.0.3865.75 - chromium/src - Git at Google. chromium.googlesource.com.
- ↑ What browsers support Extended Validation (EV) and display an EV indicator? | Symantec. [2016-09-02].
- ↑ 騰訊財經. EV证书介绍. [2012-07-11]. (簡體中文)
- ↑ 11.0 11.1 Riva Richmond. Software to Spot 'Phishers' Irks Small Concerns. 華爾街日報. [2012-07-11]. (英文)
- ↑ 擴充驗證憑證指南1.2版 (英文)
- ↑ 擴充驗證憑證指南1.0版 (英文)
- ↑ Jackson, Collin; Daniel R. Simon, Desney S. Tan, Adam Barth. An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks (PDF). [2012-07-11]. (英文)