Certificado de Validación Extendida

Certificado de clave pública X.509

Un ejemplo de Certificado de Validación Extendida, emitido por DigiCert

Un Certificado de Validación Extendida ( EV ) es un certificado conforme a X.509 que demuestra la entidad legal del propietario y está firmado por una clave de autoridad certificadora que puede emitir certificados EV. Los certificados EV se pueden utilizar de la misma manera que cualquier otro certificado X.509, incluida la seguridad de las comunicaciones web con HTTPS y la firma de software y documentos. A diferencia de los certificados validados por dominio y los certificados de validación de organizaciones , los certificados EV solo pueden ser emitidos por un subconjunto de autoridades certificadoras (CA) y requieren la verificación de la identidad legal de la entidad solicitante antes de la emisión del certificado.

A partir de febrero de 2021, todos los principales navegadores web (Google Chrome, Mozilla Firefox, Microsoft Edge y Apple Safari) tienen menús que muestran el estado EV del certificado y la identidad legal verificada de los certificados EV. Los navegadores móviles suelen mostrar los certificados EV de la misma manera que los certificados de validación de dominio (DV) y de validación de organización (OV). De los diez sitios web más populares en línea, ninguno utiliza certificados EV y la tendencia es alejarse de su uso. ^[1]

En el caso del software , el sistema operativo (por ejemplo, Microsoft Windows) muestra al usuario la identidad legal verificada antes de continuar con la instalación.

Los certificados de validación extendida se almacenan en un formato de archivo especificado y normalmente utilizan el mismo cifrado que los certificados validados por la organización y los certificados validados por el dominio , por lo que son compatibles con la mayoría del software de servidor y agente de usuario.

Los criterios para emitir certificados EV están definidos por las Directrices para la validación extendida establecidas por CA/Browser Forum . ^[2]

Para emitir un certificado de validación extendida, una CA requiere la verificación de la identidad de la entidad solicitante y su estado operativo con su control sobre el nombre de dominio y el servidor de alojamiento.

Historia

Introducción por CA/Browser Forum

En 2005, Melih Abdulhayoglu , director ejecutivo del Grupo Comodo ( actualmente conocido como Xcitium ), convocó la primera reunión de la organización que se convirtió en CA/Browser Forum , con la esperanza de mejorar los estándares para la emisión de certificados SSL/TLS. ^[3] El 12 de junio de 2007, CA/Browser Forum ratificó oficialmente la primera versión de las Directrices SSL de Validación Extendida (EV), que entraron en vigor de inmediato. La aprobación formal puso fin con éxito a más de dos años de esfuerzo y proporcionó la infraestructura para una identidad de sitio web confiable en Internet. Luego, en abril de 2008, el foro anunció la versión 1.1 de las directrices, basándose en la experiencia práctica de sus CA miembros y proveedores de software de aplicaciones de confianza adquirida en los meses transcurridos desde que se aprobó el uso de la primera versión.

Creación de indicadores de UI especiales en navegadores.

La mayoría de los principales navegadores crearon indicadores de interfaz de usuario especiales para páginas cargadas a través de HTTPS protegidas por un certificado EV poco después de la creación del estándar. Esto incluye Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.5. ^[4] Además, algunos navegadores móviles, incluidos Safari para iOS, Windows Phone, Firefox para Android, Chrome para Android e iOS, agregaron dichos indicadores de interfaz de usuario. Por lo general, los navegadores compatibles con EV muestran la identidad validada (normalmente una combinación de nombre de la organización y jurisdicción) contenida en el campo "asunto" del certificado EV.

En la mayoría de las implementaciones, la visualización mejorada incluye:

• El nombre de la empresa o entidad propietaria del certificado;
• Un símbolo de candado, también en la barra de direcciones, que varía de color en función del estado de seguridad de la web.

Al hacer clic en el símbolo del candado, el usuario puede obtener más información sobre el certificado, incluido el nombre de la autoridad certificadora que emitió el certificado EV.

Eliminación de indicadores especiales de UI

En mayo de 2018, Google anunció planes para rediseñar las interfaces de usuario de Google Chrome para eliminar el énfasis en los certificados EV. ^[5] Chrome 77, lanzado en 2019, eliminó la indicación del certificado EV del omnibox, pero el estado del certificado EV se puede ver haciendo clic en el ícono de candado y luego verificando el nombre de la entidad legal que figura como "emitido para" en "certificado". ^[6] Firefox 70 eliminó la distinción en el cuadro multifunción o la barra de URL (los certificados EV y DV se muestran de manera similar con solo un ícono de candado), pero se puede acceder a los detalles sobre el estado del certificado EV en la vista más detallada que se abre después de hacer clic en el candado. icono. ^[7]

Apple Safari en iOS 12 y MacOS Mojave (lanzado en septiembre de 2018) eliminó la distinción visual del estado de los vehículos eléctricos. ^[1]

Criterios de emisión

Solo las CA que aprueben una revisión de auditoría calificada independiente pueden ofrecer EV, ^[8] y todas las CA a nivel mundial deben seguir los mismos requisitos de emisión detallados que tienen como objetivo:

• Establecer la identidad jurídica así como la presencia operativa y física del propietario del sitio web;
• Establecer que el solicitante es el propietario del nombre de dominio o tiene control exclusivo sobre el nombre de dominio;
• Confirmar la identidad y autoridad de las personas que actúan en nombre del propietario del sitio web y que los documentos relacionados con las obligaciones legales estén firmados por un funcionario autorizado;
• Limite la duración de la validez del certificado para garantizar que la información del certificado esté actualizada. CA/B Forum también limita la reutilización máxima de los datos de validación de dominios y los datos de la organización a un máximo de 397 días (no debe exceder los 398 días) a partir de marzo de 2020 en adelante.

Con la excepción ^[9] de los Certificados de Validación Extendida para dominios .onion , de lo contrario no es posible obtener un Certificado de Validación Extendida comodín ; en su lugar, todos los nombres de dominio completos deben incluirse en el certificado y ser inspeccionados por la autoridad certificadora. ^[10]

Identificación del certificado de Validación Extendida

Los certificados EV son certificados digitales estándar X.509. La forma principal de identificar un certificado EV es haciendo referencia al campo de extensión Políticas de certificado (CP). El campo de identificador de objeto CP (OID) de cada certificado EV identifica un certificado EV. El OID EV de CA/Browser Forum es 2.23.140.1.1. ^[11] Otros OID de EV pueden documentarse en la Declaración de prácticas de certificación del emisor. Al igual que ocurre con las autoridades de certificación raíz en general, es posible que los navegadores no reconozcan a todos los emisores.

Los certificados EV HTTPS contienen un asunto con OID X.509 para jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.311.60.2.1.3), ^[12] jurisdictionOfIncorporationStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2) (opcional), ^[13]jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1) (opcional), ^[14] businessCategory (OID: 2.5.4.15) ^[15] y serialNumber(OID: 2.5.4.5), ^[16] con el serialNumberpuntero a la identificación en la secretaría de estado correspondiente (EE. UU.) o registrador de empresas del gobierno (fuera de EE. UU.) ^{[ cita necesaria ]} .

Protocolo de estado de certificado en línea

Los criterios para emitir certificados de Validación extendida no requieren que las autoridades emisoras de certificados admitan inmediatamente el Protocolo de estado de certificados en línea para la verificación de revocación. Sin embargo, el requisito de una respuesta oportuna a las comprobaciones de revocación por parte del navegador ha llevado a la mayoría de las autoridades de certificación que no lo habían hecho anteriormente a implementar el soporte OCSP. La Sección 26-A de los criterios de emisión exige que las CA admitan la verificación OCSP para todos los certificados emitidos después del 31 de diciembre de 2010.

Crítica

Nombres de entidades en colisión

Los nombres de las entidades legales no son únicos, por lo tanto, un atacante que quiera hacerse pasar por una entidad podría incorporar una empresa diferente con el mismo nombre (pero, por ejemplo, en un estado o país diferente) y obtener un certificado válido para ello, pero luego usar el certificado para hacerse pasar por el sitio original. En una demostración, un investigador incorporó una empresa llamada "Stripe, Inc." en Kentucky y mostró que los navegadores lo muestran de manera similar a como muestran el certificado del procesador de pagos " Stripe, Inc. " incorporado en Delaware . El investigador afirmó que la preparación de la demostración le llevó aproximadamente una hora de su tiempo, 100 dólares en costos legales y 77 dólares por el certificado. Además, señaló que "con suficientes clics del mouse, [el usuario] puede [ver] la ciudad y el estado [donde está incorporada la entidad], pero ninguno de estos es útil para un usuario típico, y probablemente simplemente confiará ciegamente el indicador [certificado EV]". ^[17]

Disponibilidad para pequeñas empresas.

Dado que los certificados de vehículos eléctricos se promocionan y reportan ^[18] como una marca de un sitio web confiable, algunos propietarios de pequeñas empresas han expresado su preocupación ^[19] de que los certificados de vehículos eléctricos brinden una ventaja indebida a las grandes empresas. Los borradores publicados de las Directrices EV ^[20] excluyeron a las entidades comerciales no constituidas en sociedad, y los primeros informes de los medios ^[19] se centraron en esa cuestión. La versión 1.0 de las Directrices EV se revisó para abarcar asociaciones no incorporadas siempre que estuvieran registradas en una agencia reconocida, ampliando en gran medida la cantidad de organizaciones que calificaban para un Certificado de Validación Extendida.

Efectividad contra ataques de phishing con la interfaz de usuario de seguridad de IE7

En 2006, investigadores de la Universidad de Stanford y Microsoft Research realizaron un estudio de usabilidad ^[21] de la pantalla del vehículo eléctrico en Internet Explorer 7 . Su artículo concluyó que "los participantes que no recibieron capacitación sobre las funciones de seguridad del navegador no notaron el indicador de validación extendida y no superaron al grupo de control", mientras que "los participantes a los que se les pidió que leyeran el archivo de ayuda de Internet Explorer tenían más probabilidades de clasificar ambos datos reales". y sitios falsos como legítimos".

Los certificados validados por dominio fueron creados por las CA en primer lugar

Mientras que los defensores de los certificados EV afirman que ayudan contra los ataques de phishing, ^[22] el experto en seguridad Peter Gutmann afirma que la nueva clase de certificados restaura las ganancias de una CA que se vieron erosionadas debido a la carrera hacia el fondo que se produjo entre los emisores de la industria. Según Peter Gutmann, los certificados EV no son eficaces contra el phishing porque los certificados EV "no solucionan ningún problema que los phishers estén explotando". Sugiere que las grandes CA comerciales hayan introducido certificados de vehículos eléctricos para devolver los altos precios anteriores. ^[23]

Ver también

• Certificado de autenticación de sitio web calificado
• Seguridad de transporte estricta HTTP

Referencias

1. "Google, Mozilla: estamos cambiando lo que ves en las barras de direcciones de Chrome y Firefox". ZDNET . Consultado el 27 de julio de 2023 .
2. "Pautas para el certificado SSL EV". 31 de agosto de 2013.
3. "¿Cómo podemos mejorar la firma de código?". eSEMANA . 9 de mayo de 2008.
4. "¿Qué navegadores admiten la validación extendida (EV) y muestran un indicador EV?". Symantec . Archivado desde el original el 31 de diciembre de 2015 . Consultado el 28 de julio de 2014 .
5. "Google Chrome: eliminación de indicadores de seguridad y HTTPS". Ghacks . 18 de mayo de 2018 . Consultado el 15 de junio de 2021 .
6. Abrams, Lawrence (11 de septiembre de 2019). "Chrome 77 lanzado con indicador de certificado EV eliminado". Computadora que suena . Consultado el 14 de junio de 2021 .
7. "Indicadores de seguridad y privacidad mejorados en Firefox 70". Blog de seguridad de Mozilla . 15 de octubre de 2019 . Consultado el 17 de octubre de 2019 .
8. "Criterios de auditoría". Octubre 2013.
9. "Boleta electoral 144 - Reglas de validación para nombres .onion; Apéndice F, sección 4". Foro de CA/navegadores . 18 de febrero de 2015 . Consultado el 6 de marzo de 2017 .
10. "Directrices para la emisión y gestión de certificados de validación extendida, versión 1.5.2" (PDF) . Foro de CA/navegadores. 2014-10-16. pag. 10 . Consultado el 15 de diciembre de 2014 . Los certificados comodín no están permitidos para los certificados EV.
11. "Registro de objetos". 16 de octubre de 2013.
12. "Repositorio OID - 1.3.6.1.4.1.311.60.2.1.3 = {iso(1) organización-identificada(3) dod(6) internet(1) empresa privada(4)(1) 311 ev(60) 2 1 jurisdicciónDeIncorporaciónPaísNombre(3)}". oid-info.com . Consultado el 31 de julio de 2019 .
13. "Repositorio OID - 1.3.6.1.4.1.311.60.2.1.2 = {iso(1) organización-identificada(3) dod(6) internet(1) empresa privada(4)(1) 311 ev(60) 2 1 jurisdicciónDeIncorporaciónEstadoOrProvinciaNombre(2)}". oid-info.com . Consultado el 31 de julio de 2019 .
14. "Repositorio OID - 1.3.6.1.4.1.311.60.2.1.1 = {iso(1) organización-identificada(3) dod(6) internet(1) empresa privada(4)(1) 311 ev(60) 2 1 jurisdicciónDeIncorporaciónLocalidadNombre(1)}". oid-info.com . Consultado el 31 de julio de 2019 .
15. "Repositorio de OID - 2.5.4.15 = {joint-iso-itu-t(2) ds(5) atributoType(4) businessCategory(15)}". oid-info.com . Consultado el 31 de julio de 2019 .
16. "Repositorio de OID - 2.5.4.5 = {joint-iso-itu-t(2) ds(5) atributoType(4) serialNumber(5)}". oid-info.com . Consultado el 31 de julio de 2019 .
17. Goodin, Dan (12 de diciembre de 2017). "No, este no es el sitio web Stripe validado por HTTPS que crees que es". Ars Técnica . Consultado el 19 de diciembre de 2018 .
18. Evers, Joris (2 de febrero de 2007). "IE 7 da luz verde a los sitios web seguros". CNet . Consultado el 27 de febrero de 2010 . La barra de direcciones de colores, una nueva arma en la lucha contra las estafas de phishing, pretende ser una señal de que se puede confiar en un sitio, dando a los internautas luz verde para realizar transacciones allí.
19. Richmond, Riva (19 de diciembre de 2006). "El software para detectar 'phishers' irrita las pequeñas preocupaciones". El periodico de Wall Street . Archivado desde el original el 15 de abril de 2008 . Consultado el 27 de febrero de 2010 .
20. "Lineamientos para la emisión y gestión de certificados de validación extendida" (PDF) . www.cabforum.org . Archivado desde el original (PDF) el 29 de febrero de 2012.
21. Jackson, Collin; Daniel R. Simón; Desney S. Bronceado; Adán Barth. "Una evaluación de los ataques de phishing de imagen en imagen y validación extendida" (PDF) . Seguridad utilizable 2007 .
22. "Preguntas comunes sobre SSL con EV de validación extendida". DigiCert, Inc. Consultado el 15 de mayo de 2013 .
23. Gutmann, Peter (2014). Seguridad de ingeniería (PDF) . pag. 73 . Consultado el 13 de marzo de 2015 .

enlaces externos

• Sitio web de CA/Foro del navegador
• Candado verde de Firefox para certificados EV