Certificado de Validación Extendida

Certificado de clave pública X.509

Un ejemplo de Certificado de Validación Extendida, emitido por DigiCert

Un certificado de validación extendida (EV) es un certificado que cumple con el estándar X.509 y que prueba la identidad legal del propietario y está firmado por una clave de autoridad de certificación que puede emitir certificados EV. Los certificados EV se pueden utilizar de la misma manera que cualquier otro certificado X.509, incluso para proteger las comunicaciones web con HTTPS y firmar software y documentos. A diferencia de los certificados validados por dominio y los certificados de validación de organización , los certificados EV solo pueden ser emitidos por un subconjunto de autoridades de certificación (CA) y requieren la verificación de la identidad legal de la entidad solicitante antes de la emisión del certificado.

A partir de febrero de 2021, todos los principales navegadores web (Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari) tienen menús que muestran el estado EV del certificado y la identidad legal verificada de los certificados EV. Los navegadores móviles suelen mostrar los certificados EV de la misma manera que los certificados de validación de dominio (DV) y de validación de organización (OV). De los diez sitios web más populares en línea, ninguno utiliza certificados EV y la tendencia es a alejarse de su uso. ^[1]

En el caso del software , el sistema operativo (por ejemplo, Microsoft Windows) muestra la identidad legal verificada al usuario antes de continuar con la instalación.

Los certificados de validación extendida se almacenan en un formato de archivo especificado y normalmente utilizan el mismo cifrado que los certificados validados por la organización y los certificados validados por el dominio , por lo que son compatibles con la mayoría del software de servidor y agente de usuario.

Los criterios para la emisión de certificados EV están definidos en las Directrices para la Validación Extendida establecidas por el CA/Browser Forum . ^[2]

Para emitir un certificado de validación extendida, una CA requiere la verificación de la identidad de la entidad solicitante y su estado operativo con su control sobre el nombre de dominio y el servidor de alojamiento.

Historia

Introducción del foro CA/Browser

En 2005, Melih Abdulhayoglu , director ejecutivo de Comodo Group ( actualmente conocido como Xcitium ), convocó la primera reunión de la organización que se convirtió en el CA/Browser Forum , con la esperanza de mejorar los estándares para la emisión de certificados SSL/TLS. ^[3] El 12 de junio de 2007, el CA/Browser Forum ratificó oficialmente la primera versión de las Directrices SSL de Validación Extendida (EV), que entraron en vigor de inmediato. La aprobación formal puso fin con éxito a más de dos años de esfuerzo y proporcionó la infraestructura para una identidad de sitio web confiable en Internet. Luego, en abril de 2008, el foro anunció la versión 1.1 de las directrices, basándose en la experiencia práctica de sus CA miembros y proveedores de software de aplicaciones de terceros confiables adquirida en los meses desde que se aprobó la primera versión para su uso.

Creación de indicadores UI especiales en navegadores

La mayoría de los navegadores principales crearon indicadores de interfaz de usuario especiales para páginas cargadas a través de HTTPS protegidas por un certificado EV poco después de la creación del estándar. Esto incluye Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. ^[4] Además, algunos navegadores móviles, incluidos Safari para iOS, Windows Phone, Firefox para Android, Chrome para Android e iOS, agregaron dichos indicadores de interfaz de usuario. Por lo general, los navegadores con soporte EV muestran la identidad validada (normalmente una combinación de nombre de organización y jurisdicción) contenida en el campo "asunto" del certificado EV.

En la mayoría de las implementaciones, la pantalla mejorada incluye:

• El nombre de la empresa o entidad propietaria del certificado;
• Un símbolo de candado, también en la barra de direcciones, que varía de color según el estado de seguridad del sitio web.

Al hacer clic en el símbolo del candado, el usuario puede obtener más información sobre el certificado, incluido el nombre de la autoridad certificadora que emitió el certificado EV.

Eliminación de indicadores especiales de la interfaz de usuario

En mayo de 2018, Google anunció planes para rediseñar las interfaces de usuario de Google Chrome para eliminar el énfasis en los certificados EV. ^[5] Chrome 77, lanzado en 2019, eliminó la indicación del certificado EV del cuadro multifunción, pero el estado del certificado EV se puede ver haciendo clic en el icono del candado y luego verificando el nombre de la entidad legal que figura como "emitido a" debajo de "certificado". ^[6] Firefox 70 eliminó la distinción en el cuadro multifunción o la barra de URL (los certificados EV y DV se muestran de manera similar con solo un icono de candado), pero los detalles sobre el estado EV del certificado son accesibles en la vista más detallada que se abre después de hacer clic en el icono del candado. ^[7]

Apple Safari en iOS 12 y MacOS Mojave (lanzado en septiembre de 2018) eliminó la distinción visual del estado EV. ^[1]

Criterios de emisión

Solo las CA que aprueben una revisión de auditoría independiente calificada pueden ofrecer EV, ^[8] y todas las CA a nivel mundial deben seguir los mismos requisitos de emisión detallados que apuntan a:

• Establecer la identidad jurídica así como la presencia operativa y física del titular del sitio web;
• Establecer que el solicitante es el titular del nombre de dominio o tiene control exclusivo sobre el nombre de dominio;
• Confirmar la identidad y autoridad de las personas que actúan en nombre del propietario del sitio web, y que los documentos relativos a las obligaciones legales estén firmados por un funcionario autorizado;
• Limitar la duración de la validez del certificado para garantizar que la información del certificado esté actualizada. CA/B Forum también limita la reutilización máxima de los datos de validación de dominios y de la organización a un máximo de 397 días (no debe superar los 398 días) a partir de marzo de 2020.

Con la excepción ^[9] de los Certificados de Validación Extendida para dominios .onion , no es posible obtener un Certificado de Validación Extendida comodín ; en su lugar, todos los nombres de dominio completamente calificados deben incluirse en el certificado e inspeccionarse por la autoridad certificadora. ^[10]

Identificación del certificado de Validación Extendida

Los certificados EV son certificados digitales X.509 estándar. La forma principal de identificar un certificado EV es haciendo referencia al campo de extensión de Políticas de certificados (CP). El campo de identificador de objeto (OID) de la CP de cada certificado EV identifica un certificado EV. El OID de EV del CA/Browser Forum es 2.23.140.1.1. ^[11] Otros OID de EV pueden estar documentados en la Declaración de prácticas de certificación del emisor. Al igual que con las autoridades de certificación raíz en general, es posible que los navegadores no reconozcan a todos los emisores.

Los certificados EV HTTPS contienen un asunto con OID X.509 para jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.311.60.2.1.3), ^[12] jurisdictionOfIncorporationStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2) (opcional), ^[13]jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1) (opcional), ^[14] businessCategory (OID: 2.5.4.15) ^[15] y serialNumber(OID: 2.5.4.5), ^[16] apuntando serialNumberal ID en el secretario de estado (EE. UU.) o registrador comercial gubernamental (fuera de EE. UU.) correspondiente ^{[ cita requerida ]} .

Protocolo de estado de certificado en línea

Los criterios para emitir certificados de Validación Extendida no exigen que las autoridades de certificación emisoras admitan inmediatamente el Protocolo de Estado de Certificado en Línea para la comprobación de revocación. Sin embargo, el requisito de una respuesta oportuna a las comprobaciones de revocación por parte del navegador ha llevado a la mayoría de las autoridades de certificación que no lo habían hecho anteriormente a implementar la compatibilidad con OCSP. La Sección 26-A de los criterios de emisión exige que las CA admitan la comprobación de OCSP para todos los certificados emitidos después del 31 de diciembre de 2010.

Crítica

Nombres de entidades en conflicto

Los nombres de las entidades legales no son únicos, por lo tanto, un atacante que quiera hacerse pasar por una entidad podría constituir una empresa diferente con el mismo nombre (pero, por ejemplo, en un estado o país diferente) y obtener un certificado válido para ella, pero luego usar el certificado para hacerse pasar por el sitio original. En una demostración, un investigador incorporó una empresa llamada "Stripe, Inc." en Kentucky y demostró que los navegadores la muestran de manera similar a cómo muestran el certificado del procesador de pagos " Stripe, Inc. " constituido en Delaware . El investigador afirmó que la configuración de la demostración le llevó aproximadamente una hora de su tiempo, 100 dólares estadounidenses en costos legales y 77 dólares estadounidenses por el certificado. Además, señaló que "con suficientes clics del mouse, [el usuario] puede ser capaz de [ver] la ciudad y el estado [donde está constituida la entidad], pero ninguna de estas es útil para un usuario típico, y probablemente confiará ciegamente en el indicador [certificado EV]". ^[17]

Disponibilidad para pequeñas empresas

Dado que los certificados EV se están promocionando y reportando ^[18] como una marca de un sitio web confiable, algunos propietarios de pequeñas empresas han expresado su preocupación ^[19] de que los certificados EV otorgan una ventaja indebida a las grandes empresas. Los borradores publicados de las Directrices EV ^[20] excluyeron a las entidades comerciales no constituidas en sociedad, y los primeros informes de los medios de comunicación ^[19] se centraron en esa cuestión. La versión 1.0 de las Directrices EV se revisó para incluir a las asociaciones no constituidas en sociedad siempre que estuvieran registradas en una agencia reconocida, lo que amplió en gran medida el número de organizaciones que calificaban para un Certificado de Validación Extendida.

Eficacia contra ataques de phishing con la interfaz de seguridad de IE7

En 2006, investigadores de la Universidad de Stanford y Microsoft Research realizaron un estudio de usabilidad ^[21] de la pantalla EV en Internet Explorer 7. Su artículo concluyó que "los participantes que no recibieron capacitación sobre las características de seguridad del navegador no notaron el indicador de validación extendida y no superaron al grupo de control", mientras que "los participantes a los que se les pidió que leyeran el archivo de ayuda de Internet Explorer tenían más probabilidades de clasificar tanto los sitios reales como los falsos como legítimos".

Los certificados validados por dominio fueron creados por las CA en primer lugar

Mientras que los defensores de los certificados EV afirman que ayudan contra los ataques de phishing, ^[22] el experto en seguridad Peter Gutmann afirma que la nueva clase de certificados restablece las ganancias de una CA que se erosionaron debido a la carrera hacia el abismo que se produjo entre los emisores de la industria. Según Peter Gutmann, los certificados EV no son efectivos contra el phishing porque los certificados EV "no solucionan ningún problema que los estafadores estén explotando". Sugiere que las grandes CA comerciales han introducido certificados EV para recuperar los altos precios de antes. ^[23]

Véase también

• Certificado de autenticación de sitio web calificado
• Seguridad de transporte estricta HTTP

Referencias

1. "Google, Mozilla: estamos cambiando lo que veis en las barras de direcciones de Chrome y Firefox". ZDNET . Consultado el 27 de julio de 2023 .
2. "Directrices para certificados SSL con EV". 31 de agosto de 2013.
3. "¿Cómo podemos mejorar la firma de código?". eWEEK . 9 de mayo de 2008.
4. "¿Qué navegadores admiten la Validación Extendida (EV) y muestran un indicador EV?". Symantec . Archivado desde el original el 2015-12-31 . Consultado el 2014-07-28 .
5. "Google Chrome: eliminación de los indicadores Secure y HTTPS". Ghacks . 18 de mayo de 2018 . Consultado el 15 de junio de 2021 .
6. Abrams, Lawrence (11 de septiembre de 2019). "Chrome 77 lanzado con indicador de certificado EV eliminado". Bleeping Computer . Consultado el 14 de junio de 2021 .
7. "Indicadores de seguridad y privacidad mejorados en Firefox 70". Blog de seguridad de Mozilla . 15 de octubre de 2019 . Consultado el 17 de octubre de 2019 .
8. "Criterios de auditoría". Octubre de 2013.
9. "Ballot 144 – Validation rules for .onion names; Appendix F section 4" (Votación 144: Reglas de validación para nombres .onion; Apéndice F sección 4). CA/Browser Forum . 18 de febrero de 2015. Consultado el 6 de marzo de 2017 .
10. "Directrices para la emisión y gestión de certificados de validación extendida, versión 1.5.2" (PDF) . CA/Browser Forum. 16 de octubre de 2014. pág. 10. Consultado el 15 de diciembre de 2014. No se permiten certificados comodín para certificados EV .
11. "Registro de objetos". 16 de octubre de 2013.
12. "Repositorio OID - 1.3.6.1.4.1.311.60.2.1.3 = {iso(1) identifier-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 jurisdictionOfIncorporationCountryName(3)}". oid-info.com . Consultado el 31 de julio de 2019 .
13. "Repositorio OID - 1.3.6.1.4.1.311.60.2.1.2 = {iso(1) identifier-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 jurisdictionOfIncorporationStateOrProvinceName(2)}". oid-info.com . Consultado el 31 de julio de 2019 .
14. "Repositorio OID - 1.3.6.1.4.1.311.60.2.1.1 = {iso(1) identifier-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 jurisdictionOfIncorporationLocalityName(1)}". oid-info.com . Consultado el 31 de julio de 2019 .
15. "Repositorio OID - 2.5.4.15 = {joint-iso-itu-t(2) ds(5) attributeType(4) businessCategory(15)}". oid-info.com . Consultado el 31 de julio de 2019 .
16. "Repositorio OID - 2.5.4.5 = {joint-iso-itu-t(2) ds(5) attributeType(4) serialNumber(5)}". oid-info.com . Consultado el 31 de julio de 2019 .
17. Goodin, Dan (12 de diciembre de 2017). "No, este no es el sitio web de Stripe validado por HTTPS que crees que es". Ars Technica . Consultado el 19 de diciembre de 2018 .
18. Evers, Joris (2 de febrero de 2007). "IE 7 da luz verde a los sitios web seguros". CNet . Consultado el 27 de febrero de 2010. La barra de direcciones de color, una nueva arma en la lucha contra las estafas de phishing, está pensada como una señal de que se puede confiar en un sitio, dando a los internautas luz verde para realizar transacciones en él.
19. Richmond, Riva (19 de diciembre de 2006). "Software para detectar 'phishers' irrita a pequeñas empresas". The Wall Street Journal . Archivado desde el original el 15 de abril de 2008. Consultado el 27 de febrero de 2010 .
20. "Directrices para la emisión y gestión de certificados de validación extendida" (PDF) . www.cabforum.org . Archivado desde el original (PDF) el 29 de febrero de 2012.
21. Jackson, Collin; Daniel R. Simon; Desney S. Tan; Adam Barth. "Una evaluación de la validación extendida y los ataques de phishing de imagen en imagen" (PDF) . Usable Security 2007 .
22. "Preguntas frecuentes sobre la validación extendida EV SSL". DigiCert, Inc. Recuperado el 15 de mayo de 2013 .
23. Gutmann, Peter (2014). Ingeniería de seguridad (PDF) . p. 73. Consultado el 13 de marzo de 2015 .

Enlaces externos

• Sitio web del foro CA/Browser
• Candado verde de Firefox para certificados EV