Wissensdatenbank

Im Jahr 2005 berief Melih Abdulkhayoglu, CEO der Comodo , das erste Treffen der Organisation ein, aus der später das CA/Browser Forum wurde. Der Zweck des Treffens war die Verbesserung der Standards für die Ausstellung von SSL-/TLS-Zertifikaten. Am 12. Juni 2007 ratifizierte das CA/Browser Forum offiziell die erste Version des Advanced Verification Guide, und das Dokument trat sofort in Kraft. Mit der formellen Genehmigung wurde die Bereitstellung der Infrastruktur für die Identifizierung vertrauenswürdiger Websites im Internet abgeschlossen. Im April 2008 kündigte das CA/Browser Forum die Veröffentlichung einer neuen Version des Leitfadens (1.1) an. In die neue Version flossen die Erfahrungen von Zertifizierungsstellen und Softwareherstellern ein.

Die Motivation für die Erlangung eines Zertifikats

Ein wichtiger Grund für die Verwendung digitaler Zertifikate mit SSL/TLS ist die Stärkung des Vertrauens in Online-Transaktionen. Dies setzt voraus, dass die Betreiber von Websites geprüft werden, um ein Zertifikat zu erhalten. Der kommerzielle Druck hat jedoch einige Zertifizierungsstellen dazu veranlasst, Zertifikate der unteren Ebene (Domain-Validierung) einzuführen. Domänenvalidierungszertifikate gab es bereits vor der erweiterten Validierung, und in der Regel ist für ihre Erlangung nur eine gewisse Bestätigung der Domänenkontrolle erforderlich. Insbesondere behaupten Domain-Validierungszertifikate nicht, dass diese juristische Person in irgendeiner Beziehung zu der Domain steht, auch wenn auf der Website angegeben sein kann, dass sie einer juristischen Person gehört.

Zunächst unterschieden die Benutzeroberflächen der meisten Browser nicht zwischen Domain-Validierungs- und erweiterten Validierungszertifikaten. Da jede erfolgreiche SSL-/TLS-Verbindung in den meisten Browsern zu einem grünen Schlosssymbol führte, war es unwahrscheinlich, dass die Nutzer wussten, ob die Website mit erweiterter Validierung bestätigt war oder nicht (seit Januar 2019 hat Chrome die grünen Symbole im Browser entfernt). Infolgedessen konnten Betrüger (einschließlich derer, die in Phishing involviert sind) TLS nutzen, um die Glaubwürdigkeit ihrer Websites zu erhöhen. Nutzer neuerer Browser können die Identität der Zertifikatsinhaber immer überprüfen, indem sie die Informationen über das ausgestellte Zertifikat prüfen, die darin angegeben sind (einschließlich des Namens der Organisation und ihrer Adresse).

EV-Zertifikate werden sowohl auf die Erfüllung der Grundanforderungen als auch auf die Erfüllung der erweiterten Anforderungen geprüft. Manuelle Überprüfung der vom Antragsteller beantragten Domänennamen, Überprüfung durch offizielle staatliche Quellen, Überprüfung durch unabhängige Informationsquellen und Telefonate mit dem Unternehmen sind erforderlich. Wenn das Zertifikat ausgestellt wurde, sind die Seriennummer des von der Zertifizierungsstelle registrierten Unternehmens sowie die physische Adresse darin gespeichert.

EV-Zertifikate sollen das Vertrauen der Nutzer stärken, dass es sich bei dem Betreiber der Website um eine wirklich existierende Organisation handelt. Dennoch besteht die Sorge, dass der gleiche Mangel an Verantwortung, der zum Verlust des öffentlichen Vertrauens in DV-Zertifikate geführt hat, auch den Wert von EV-Zertifikaten beeinträchtigen wird.

Kriterien für die Lieferung

Nur Zertifizierungsstellen, die ein unabhängiges, qualifiziertes Audit bestanden haben, können EV-Zertifikate anbieten, und alle Zentren müssen die Freigabeanforderungen erfüllen, die darauf abzielen:

• Feststellung der Existenz einer juristischen Person und des Eigentümers der Website;
• Feststellung der Tatsache, dass eine juristische Person Eigentümer dieser Domain ist;
• Bestätigung der Identität des Eigentümers des Grundstücks und der Befugnisse der Personen, die im Namen des Eigentümers des Grundstücks handeln.

Mit Ausnahme von EV-Zertifikaten für .onion-Domänen ist es nicht möglich, ein wildcard mit Extended Validation zu erhalten - stattdessen müssen alle voll qualifizierten Domänennamen im Zertifikat enthalten sein und von einer Zertifizierungsstelle überprüft werden.

Benutzeroberfläche

EV-fähige Browser zeigen die Verfügbarkeit von Zertifikaten an - normalerweise eine Kombination aus dem Namen der Organisation und dem Standort der Organisation. Die Browser Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera und Google Chrome unterstützen EV.

Erweiterte Überprüfungsregeln verlangen von den teilnehmenden Zertifizierungsstellen die Zuweisung einer bestimmten EV-Kennung, nachdem die Zertifizierungsstelle ein unabhängiges Audit abgeschlossen hat und andere Kriterien erfüllt wurden. Die Browser merken sich diese Kennung und gleichen die EV-Kennung im Zertifikat mit der im Browser für die betreffende Zertifizierungsstelle ab: Wenn sie übereinstimmen, wird das Zertifikat als gültig anerkannt. In vielen Browsern wird ein EV-Zertifikat durch angezeigt:

• Der Name des Unternehmens oder der Organisation, zu der das Zertifikat gehört.
• Eine charakteristische Farbe, in der Regel grün, die in der Adressleiste angezeigt wird und darauf hinweist, dass das Zertifikat als HTTPS empfangen wurde.
• Das "Schloss"-Symbol befindet sich auch in der Adressleiste. Wenn Sie auf das "Schloss" klicken, erhalten Sie weitere Informationen über das Zertifikat, darunter den Namen der Zertifizierungsstelle, die das EV-Zertifikat ausgestellt hat.