EV SSL-Zertifikat – Ein Zertifikat, das verwendet wird, um HTTPS-Unterstützung auf einer Website zu konfigurieren. Um ein EV-Zertifikat zu erhalten, müssen Sie die Existenz des Unternehmens, auf dessen Namen das Zertifikat ausgestellt wird, in einer Zertifizierungsstelle bestätigen. Browser zeigen Informationen über die Existenz des Unternehmens entweder vor dem Domainnamen der Website an.
EV-Zertifikate verwenden die gleichen Sicherheitsmethoden wie DV- und OV-Zertifikate: Ein höheres Schutzniveau wird durch die Notwendigkeit gewährleistet, die Existenz eines Unternehmens bei einer Zertifizierungsstelle zu bestätigen. Die Kriterien für die Ausstellung von EV-Zertifikaten sind in einem speziellen Dokument definiert: Richtlinien für die erweiterte Validierung, aktuell (Stand 1. August 2019) ist die Version dieses Dokuments 1.7.0. Das Handbuch wurde vom CA / Browser Forum entwickelt, einer Organisation, deren Mitglieder Zertifizierungsstellen und Internet-Softwareanbieter sowie Vertreter von Rechts- und Wirtschaftsprüfungsberufen sind.
Geschichte
Im Jahr 2005 berief Melih Abdulkhayoglu, CEO der Comodo Group, das erste Treffen der Organisation ein, aus der später das CA / Browser Forum hervorging. Ziel des Treffens war die Verbesserung der Standards für die Ausstellung von SSL / TLS-Zertifikaten. Am 12. Juni 2007 ratifizierte das CA / Browser Forum offiziell die erste Version des Advanced Verification Guide, und das Dokument trat sofort in Kraft. Die formelle Genehmigung hat die Bereitstellung einer Infrastruktur für die Identifizierung vertrauenswürdiger Websites im Internet abgeschlossen. Im April 2008 kündigte das CA / Browser Forum die Veröffentlichung einer neuen Version des Leitfadens (1.1) an. Die neue Version basierte auf den Erfahrungen von Zertifizierungsstellen und Softwareherstellern.
Die Motivation für den Erhalt eines Zertifikats
Eine wichtige Motivation für die Verwendung digitaler Zertifikate mit SSL / TLS ist die Erhöhung des Vertrauens in Online-Transaktionen. Dies erfordert, dass Website-Betreiber getestet werden, um ein Zertifikat zu erhalten. Der kommerzielle Druck hat jedoch einige Zertifizierungsstellen dazu veranlasst, Zertifikate mit niedrigerem Niveau (Domain-Validierung) einzuführen. Domain-Validierungszertifikate existierten bereits vor der erweiterten Validierung, und in der Regel erfordert der Erhalt nur eine Bestätigung der Domainkontrolle. Insbesondere behaupten Domain-Validierungszertifikate nicht, dass diese juristische Person in irgendeiner Beziehung zu der Domain steht, obwohl auf der Website geschrieben stehen kann, dass sie einer juristischen Person gehört.
Anfangs unterschieden die Benutzeroberflächen der meisten Browser nicht zwischen Domain-Validierungs- und Extended-Validation-Zertifikaten. Da jede erfolgreiche SSL / TLS-Verbindung in den meisten Browsern zu einem grünen Schlosssymbol führte, konnten Benutzer kaum erkennen, ob die Extended-Validation-Site bestätigt wurde oder nicht (ab Januar 2019 hat Chrome die grünen Symbole im Browser entfernt). Infolgedessen konnten Betrüger (einschließlich derer, die in Phishing verwickelt sind) TLS verwenden, um die Glaubwürdigkeit ihrer Websites zu erhöhen. Benutzer späterer Browser können die Identität von Zertifikatsinhabern jederzeit überprüfen, indem sie die Informationen über das ausgestellte Zertifikat prüfen, die darin angegeben sind (einschließlich des Namens der Organisation und ihrer Adresse).
EV-Zertifikate werden auf die Einhaltung sowohl der grundlegenden Anforderungen als auch der erweiterten Anforderungen geprüft. Eine manuelle Überprüfung der vom Antragsteller angeforderten Domainnamen, eine Überprüfung durch offizielle Regierungsquellen, eine Überprüfung durch unabhängige Informationsquellen und Telefonanrufe bei dem Unternehmen sind erforderlich. Wenn das Zertifikat ausgestellt wurde, werden die Seriennummer des von der Zertifizierungsstelle registrierten Unternehmens sowie die physische Adresse darin gespeichert.
EV-Zertifikate sollen das Vertrauen der Benutzer stärken, dass der Website-Betreiber eine tatsächlich existierende Organisation ist. Dennoch besteht weiterhin die Sorge, dass die gleiche mangelnde Verantwortung, die zum Verlust des öffentlichen Vertrauens in DV-Zertifikate geführt hat, zum Verlust des Wertes von EV-Zertifikaten führen wird.
Lieferkriterien
Nur Zertifizierungsstellen, die ein unabhängiges qualifiziertes Audit bestanden haben, können EV-Zertifikate anbieten, und alle Zentren müssen die Freigabeanforderungen erfüllen, die darauf abzielen:
- Feststellung der Existenz einer juristischen Person und eines Website-Inhabers;
- Feststellung der Tatsache, dass eine juristische Person diese Domain besitzt;
- Bestätigung der Identität des Inhabers der Website und der Befugnis von Personen, die im Namen des Inhabers der Website handeln.
Mit Ausnahme von EV-Zertifikaten für .onion-Domains ist es nicht möglich, ein Wildcard-Zertifikat mit Extended Validation zu erhalten. Stattdessen müssen alle vollqualifizierten Domainnamen im Zertifikat enthalten sein und von einer Zertifizierungsstelle verifiziert werden.
Benutzeroberfläche
EV-fähige Browser zeigen die Verfügbarkeit von Zertifikaten an – in der Regel eine Kombination aus dem Namen der Organisation und dem Standort der Organisation. Die Browser Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera und Google Chrome unterstützen EV.
Erweiterte Verifizierungsregeln verlangen von teilnehmenden Zertifizierungsstellen, dass sie eine bestimmte EV-Kennung zuweisen, nachdem die Zertifizierungsstelle ein unabhängiges Audit abgeschlossen und andere Kriterien erfüllt hat. Browser merken sich diese Kennung und gleichen die EV-Kennung im Zertifikat mit der im Browser für die betreffende Zertifizierungsstelle ab: Wenn sie übereinstimmen, wird das Zertifikat als gültig erkannt. In vielen Browsern wird ein EV-Zertifikat signalisiert durch:
- Der Name des Unternehmens oder der Organisation, dem das Zertifikat gehört.
- Eine spezielle Farbe, üblicherweise grün, die in der Adressleiste angezeigt wird und anzeigt, dass das Zertifikat als HTTPS empfangen wurde.
- Das „Schloss“-Symbol befindet sich ebenfalls in der Adressleiste. Durch Klicken auf das „Schloss“ erhalten Sie weitere Informationen über das Zertifikat, einschließlich des Namens der Zertifizierungsstelle, die das EV-Zertifikat ausgestellt hat.
