Un Certificado de Validación Extendida ( EV ) es un certificado conforme a X.509 que demuestra la entidad legal del propietario y está firmado por una clave de autoridad certificadora que puede emitir certificados EV. Los certificados EV se pueden utilizar de la misma manera que cualquier otro certificado X.509, incluida la seguridad de las comunicaciones web con HTTPS y la firma de software y documentos. A diferencia de los certificados validados por dominio y los certificados de validación de organizaciones , los certificados EV solo pueden ser emitidos por un subconjunto de autoridades certificadoras (CA) y requieren la verificación de la identidad legal de la entidad solicitante antes de la emisión del certificado.
A partir de febrero de 2021, todos los principales navegadores web (Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari) tienen menús que muestran el estado EV del certificado y la identidad legal verificada de los certificados EV. Los navegadores móviles suelen mostrar los certificados EV de la misma manera que los certificados de validación de dominio (DV) y de validación de organización (OV). De los diez sitios web más populares en línea, ninguno utiliza certificados EV y la tendencia es alejarse de su uso. [1]
En el caso del software , el sistema operativo (por ejemplo, Microsoft Windows) muestra al usuario la identidad legal verificada antes de continuar con la instalación.
Los certificados de validación extendida se almacenan en un formato de archivo especificado y normalmente utilizan el mismo cifrado que los certificados validados por la organización y los certificados validados por el dominio , por lo que son compatibles con la mayoría del software de servidor y agente de usuario.
Los criterios para emitir certificados EV están definidos por las Directrices para la validación extendida establecidas por CA/Browser Forum . [2]
Para emitir un certificado de validación extendida, una CA requiere la verificación de la identidad de la entidad solicitante y su estado operativo con su control sobre el nombre de dominio y el servidor de alojamiento.
En 2005, Melih Abdulhayoglu , director ejecutivo del Grupo Comodo ( actualmente conocido como Xcitium ), convocó la primera reunión de la organización que se convirtió en CA/Browser Forum , con la esperanza de mejorar los estándares para la emisión de certificados SSL/TLS. [3] El 12 de junio de 2007, CA/Browser Forum ratificó oficialmente la primera versión de las Directrices SSL de Validación Extendida (EV), que entraron en vigor de inmediato. La aprobación formal puso fin con éxito a más de dos años de esfuerzo y proporcionó la infraestructura para una identidad de sitio web confiable en Internet. Luego, en abril de 2008, el foro anunció la versión 1.1 de las directrices, basándose en la experiencia práctica de sus CA miembros y proveedores de software de aplicaciones de confianza adquirida en los meses transcurridos desde que se aprobó el uso de la primera versión.
La mayoría de los principales navegadores crearon indicadores de interfaz de usuario especiales para páginas cargadas a través de HTTPS protegidas por un certificado EV poco después de la creación del estándar. Esto incluye Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. [4] Además, algunos navegadores móviles, incluidos Safari para iOS, Windows Phone, Firefox para Android, Chrome para Android e iOS, agregaron dichos indicadores de interfaz de usuario. Por lo general, los navegadores compatibles con EV muestran la identidad validada (normalmente una combinación de nombre de la organización y jurisdicción) contenida en el campo "asunto" del certificado EV.
En la mayoría de las implementaciones, la visualización mejorada incluye:
Al hacer clic en el símbolo del candado, el usuario puede obtener más información sobre el certificado, incluido el nombre de la autoridad certificadora que emitió el certificado EV.
En mayo de 2018, Google anunció planes para rediseñar las interfaces de usuario de Google Chrome para eliminar el énfasis en los certificados EV. [5] Chrome 77, lanzado en 2019, eliminó la indicación del certificado EV del omnibox, pero el estado del certificado EV se puede ver haciendo clic en el ícono de candado y luego verificando el nombre de la entidad legal que figura como "emitido para" en "certificado". [6] Firefox 70 eliminó la distinción en el cuadro multifunción o la barra de URL (los certificados EV y DV se muestran de manera similar con solo un ícono de candado), pero se puede acceder a los detalles sobre el estado del certificado EV en la vista más detallada que se abre después de hacer clic en el candado. icono. [7]
Apple Safari en iOS 12 y MacOS Mojave (lanzado en septiembre de 2018) eliminó la distinción visual del estado de los vehículos eléctricos. [1]
Solo las CA que aprueben una revisión de auditoría calificada independiente pueden ofrecer EV, [8] y todas las CA a nivel mundial deben seguir los mismos requisitos de emisión detallados que tienen como objetivo:
Con la excepción [9] de los Certificados de Validación Extendida para dominios .onion , de lo contrario no es posible obtener un Certificado de Validación Extendida comodín ; en su lugar, todos los nombres de dominio completos deben incluirse en el certificado y ser inspeccionados por la autoridad certificadora. [10]
Los certificados EV son certificados digitales estándar X.509. La forma principal de identificar un certificado EV es haciendo referencia al campo de extensión Políticas de certificado (CP). El campo de identificador de objeto CP (OID) de cada certificado EV identifica un certificado EV. El OID EV de CA/Browser Forum es 2.23.140.1.1. [11] Otros OID de EV pueden documentarse en la Declaración de prácticas de certificación del emisor. Al igual que ocurre con las autoridades de certificación raíz en general, es posible que los navegadores no reconozcan a todos los emisores.
Los certificados EV HTTPS contienen un asunto con OID X.509 para jurisdictionOfIncorporationCountryName
(OID: 1.3.6.1.4.1.311.60.2.1.3), [12] jurisdictionOfIncorporationStateOrProvinceName
(OID: 1.3.6.1.4.1.311.60.2.1.2) (opcional), [13]jurisdictionLocalityName
(OID: 1.3.6.1.4.1.311.60.2.1.1) (opcional), [14] businessCategory
(OID: 2.5.4.15) [15] y serialNumber
(OID: 2.5.4.5), [16] con el serialNumber
puntero a la identificación en la secretaría de estado correspondiente (EE. UU.) o registrador de empresas del gobierno (fuera de EE. UU.) [ cita necesaria ] .
Los criterios para emitir certificados de Validación extendida no requieren que las autoridades emisoras de certificados admitan inmediatamente el Protocolo de estado de certificados en línea para la verificación de revocación. Sin embargo, el requisito de una respuesta oportuna a las comprobaciones de revocación por parte del navegador ha llevado a la mayoría de las autoridades de certificación que no lo habían hecho anteriormente a implementar el soporte OCSP. La Sección 26-A de los criterios de emisión exige que las CA admitan la verificación OCSP para todos los certificados emitidos después del 31 de diciembre de 2010.
Los nombres de las entidades legales no son únicos, por lo tanto, un atacante que quiera hacerse pasar por una entidad podría incorporar una empresa diferente con el mismo nombre (pero, por ejemplo, en un estado o país diferente) y obtener un certificado válido para ello, pero luego usar el certificado para hacerse pasar por el sitio original. En una demostración, un investigador incorporó una empresa llamada "Stripe, Inc." en Kentucky y mostró que los navegadores lo muestran de manera similar a como muestran el certificado del procesador de pagos " Stripe, Inc. " incorporado en Delaware . El investigador afirmó que la preparación de la demostración le llevó aproximadamente una hora de su tiempo, 100 dólares en costos legales y 77 dólares por el certificado. Además, señaló que "con suficientes clics del mouse, [el usuario] puede [ver] la ciudad y el estado [donde está incorporada la entidad], pero ninguno de estos es útil para un usuario típico, y probablemente simplemente confiará ciegamente el indicador [certificado EV]". [17]
Dado que los certificados de vehículos eléctricos se promocionan y reportan [18] como una marca de un sitio web confiable, algunos propietarios de pequeñas empresas han expresado su preocupación [19] de que los certificados de vehículos eléctricos brinden una ventaja indebida a las grandes empresas. Los borradores publicados de las Directrices EV [20] excluyeron a las entidades comerciales no constituidas en sociedad, y los primeros informes de los medios [19] se centraron en esa cuestión. La versión 1.0 de las Directrices EV se revisó para abarcar asociaciones no incorporadas siempre que estuvieran registradas en una agencia reconocida, ampliando en gran medida la cantidad de organizaciones que calificaban para un Certificado de Validación Extendida.
En 2006, investigadores de la Universidad de Stanford y Microsoft Research realizaron un estudio de usabilidad [21] de la pantalla del vehículo eléctrico en Internet Explorer 7 . Su artículo concluyó que "los participantes que no recibieron capacitación sobre las funciones de seguridad del navegador no notaron el indicador de validación extendida y no superaron al grupo de control", mientras que "los participantes a los que se les pidió que leyeran el archivo de ayuda de Internet Explorer tenían más probabilidades de clasificar ambos datos reales". y sitios falsos como legítimos".
Mientras que los defensores de los certificados EV afirman que ayudan contra los ataques de phishing, [22] el experto en seguridad Peter Gutmann afirma que la nueva clase de certificados restaura las ganancias de una CA que se vieron erosionadas debido a la carrera hacia el fondo que se produjo entre los emisores de la industria. Según Peter Gutmann, los certificados EV no son eficaces contra el phishing porque los certificados EV "no solucionan ningún problema que los phishers estén explotando". Sugiere que las grandes CA comerciales hayan introducido certificados de vehículos eléctricos para devolver los altos precios anteriores. [23]
Los certificados comodín no están permitidos para los certificados EV.
La barra de direcciones de colores, una nueva arma en la lucha contra las estafas de phishing, pretende ser una señal de que se puede confiar en un sitio, dando a los internautas luz verde para realizar transacciones allí.