certificados SSL EV multidominio de Entrust

Por "validación extendida” entendemos los métodos de validación estándar que debe aplicar una CA antes de emitir un certificado SSL. El CA/Browser Forum publica aquí las directivas de Validación Extendida.

Un certificado SSL con validación extendida creado por un consorcio de la industria denominado "CA/Browser forum". Esta nueva categoría de certificado responde a la amenaza de ataques de phishing y mejora la confianza del consumidor en las transacciones en línea. Los certificados EV solo se emitirán tras rigurosa validación de la identidad del sitio web. Los navegadores web reflejarán este mayor nivel de seguridad con distintivos de confianza, como la barra verde de direcciones en Internet Explorer y Mozilla Firefox, e indicadores verdes en las últimas versiones de Opera y Google Chrome.

El CA/Browser Forum agrupa a autoridades de certificación, navegadores y otros miembros de la industria para minimizar el phishing. Consulte más información en el sitio del CA/Browser Forum.

La mayoría de los navegadores actuales muestran indicadores de confianza para EV. Entre los principales navegadores que soportan EV: Internet Explorer 7 y superior, Mozilla Firefox 3, Opera 8, Safari 3.2, Google Chrome y Flock versión 2.

Ante el phishing y el fraude en línea, los consumidores desean garantías sobre el sitio donde ingresan sus datos personales. Cuando sienten que el sitio no es de confianza y que su información personal no está cifrada, los consumidores llevan sus transacciones a otro proveedor. Los certificados SSL EV multidominio de Entrust mejoran la confianza de los consumidores con indicadores consistentes. El candado se encuentra ahora en la parte superior del navegador. Cuando un sitio web tiene instalado un certificado SSL EV multidominio de Entrust, la barra de direcciones en verde muestra la identidad del sitio y el nombre de la CA para que el consumidor compre con confianza.

Actualmente, una amplia gama de entidades puede adquirir certificados EV:

1. Organización privada: Una entidad no gubernamental (con propietarios privados o cotizada bolsa) registrada en la jurisdicción de incorporación.
2. Entidad gubernamental: Una entidad operada por el gobierno: agencia, departamento, ministerio o elemento similar del gobierno de un país, subdivisión política dentro de tal país (como un estado, provincia, ciudad, condado, etc.).
3. Entidad comercial: Una entidad que no es una organización privada ni una entidad gubernamental. Por ejemplo: asociaciones generales, asociaciones no constituidas y sociedades unipersonales.

Al principio, los certificados SSL EV multidominio de Entrust estarán disponibles aquí. Más adelante, estarán disponibles en nuestra interfaz para clientes que administran grandes grupos de certificados.

Sí. Tenga en cuenta que deberá ser validado según directivas EV antes de emitir los certificados.

Los certificados SSL EV multidominio de Entrust tienen una validez máxima de 2 años (24 meses).

La diferencia reside en lo que sucede antes de emitir certificados SSL EV multidominio. Antes de emitir un certificado SSL/TLS, Entrust realiza comprobaciones para "investigar" o validar la identidad del solicitante.

Con el nuevo modelo EV, las entidades que soliciten un certificado SSL EV multidominio de Entrust se validarán según directivas definidas por el CA/Browser Forum. En cambio, con las prácticas actuales cada CA tiene estándares de validación diferentes. Aunque la mayoría de CA tienen rigurosas prácticas de validación, algunas ponen en peligro las transacciones de los consumidores.

Los certificados emitidos mediante ‘validación extendida’ incluirán una referencia a una política EV específica. Cada autoridad de certificación tendrá una política única y un Policy Object Identifier (OID). Los navegadores que soporten EV actuarán de forma diferente ante un certificado emitido con una política EV reconocida.

Los certificados SSL EV multidominio de Entrust no se diferenciarán de los certificados X.509 estándar y serán compatibles con navegadores anteriores. Los certificados SSL EV multidominio de Entrust incluirán más información: entidad para la que se emitió el certificado, jurisdicción, etc.

Desde un punto de vista criptográfico, sus actuales certificados SSL de Entrust aún garantizan sesiones SSL cifradas.

Sin embargo, la mayor amenaza para las transacciones en línea no reside en la criptografía sino en el phishing. El phishing aprovecha la incapacidad del consumidor para distinguir entre sitios de confianza y sitios impostores.

La iniciativa EV facilita esta distinción. Los certificados sin EV serán menos prácticos a medida que los consumidores adopten nuevos navegadores. Cuando realicen transacciones, buscarán los indicadores de confianza provistos por certificados SSL EV multidominio de Entrust.

Si realiza transacciones de comercio electrónico o recopila información sensible, debería considerar el cambio a certificados SSL EV multidominio de Entrust.

El phishing amenaza la confianza de los consumidores en Internet. Los certificados SSL EV multidominio de Entrust son parte de la solución si se despliegan y utilizan ampliamente.

Los navegadores sin compatibilidad EV se comportarán igual que ahora. Mientras el navegador confíe en la CA que ha emitido el certificado, el candado aparecerá cerrado.

En la mayoría de casos, la compatibilidad del sitio web con navegadores anteriores requerirá instalar un certificado cruzado en el servidor web. Dicho certificado deberá ser emitido por una CA integrada en dichos navegadores. El certificado cruzado certifica a la CA que emite el certificado EV del del sitio web.

Aunque la respuesta varía según el navegador, una barra de direcciones roja indica que ha accedido a un sitio de phishing.

Las alertas bloquean el acceso inmediato a sitios de phishing. No obstante, los usuarios pueden acceder esos sitios si lo desean.

Una barra de dirección roja también puede indicar problemas con el certificado. Por ejemplo, que no ha sido emitido por una CA de confianza.

Internet Explorer incluye advertencias destacadas y recomienda que los usuarios no visiten la página.

Si el usuario ignora las advertencias y continúa, la barra de direcciones se vuelve roja y aparecen "insignias de seguridad".

Si es titular de una CA Entrust, podrá emitir certificados SSL EV multidominio de Entrust cuando su CA sea reconocida por los navegadores compatibles con EV. Para ello dispone de dos opciones: una certificación cruzada con una CA ya incluida en los programas EV, o enviar su propio certificado raíz a los programas EV. En ambos casos, deberá someterse a una auditoría según directivas del CA/Browser Forum.

Los operadores de sitios web deben considerar cambios como la información de suscriptor añadida al certificado:

• Nombre de dominio
• Nombre de la organización
• Jurisdicción de incorporación
• Ciudad o pueblo
• Estado o provincia (si corresponde)
• País: obligatorio

Quizás algunas herramientas para generar peticiones no le permitan añadir esta información a sus certificados. Sin embargo, Entrust podrá añadir esta información a sus certificados SSL EV multidominio tras realizar su pedido.

Al calcular el número de certificados que necesita, tenga en cuenta que los estándares de EV no permiten certificados wildcard.

Aunque se podría habilitar mayor seguridad ante los actuales certificados SSL, el problema reside en la inconsistente validación tras dichos certificados.

Actualmente, algunas CA validan con poco rigor a las compañías que solicitan certificados SSL. De este modo, introducen el riesgo de que un sitio de phishing adquiera un certificado SSL válido.

Ante este riesgo, el CA/Browser Forum estableció directivas de validación para las CA participantes. De este modo, los fabricantes de navegadores podían activar características de seguridad como la barra verde de direcciones.

No, las directivas SSL EV no permiten certificados wildcard. Las extensiones subjectAltName soportadas por las directivas EV ofrecen las mismas ventajas que un certificado wildcard.

Entrust DEBE revocar un certificado SSL EV multidominio cuando:

• El suscriptor solicita revocar su certificado SSL EV multidominio.
• El suscriptor indica que el certificado SSL EV multidominio de Entrust no fue autorizado y no otorga autorización retroactiva.
• La clave privada del suscriptor se ha visto comprometida, o el certificado SSL EV multidominio de Entrust se ha utilizado de forma indebida.
• El suscriptor viola alguna de las obligaciones del acuerdo.
• Un tribunal ha revocado el derecho del suscriptor a utilizar el nombre de dominio que figura en el certificado SSL EV multidominio de Entrust, o el suscriptor no ha renovado su nombre de dominio.
• Se modifica la información incluida en el certificado SSL EV multidominio de Entrust.
• El certificado SSL EV multidominio de Entrust no fue emitido de acuerdo con estas directivas o con la política EV de la CA.
• Si Entrust determina que algún dato del certificado SSL EV multidominio no es exacto.
• Entrust suspende las operaciones por algún motivo y no ha acordado que otra CA proporcione asistencia de revocación para el certificado EV.
• El derecho de Entrust a emitir certificados SSL EV multidominio en virtud de estas directivas caduca, se revoca o se cancela [a menos que la CA realice arreglos para mantener el repositorio CRL/OCSP].
• La clave privada del certificado SSL EV multidominio de Entrust se ha visto comprometida.
• El suscriptor ha sido agregado a una lista de partes denegadas u opera desde un destino prohibido por la jurisdicción de la CA.

Elaboración de informes

Para revocar su certificado SSL EV multidominio por alguno de los motivos anteriores, complete nuestro formulario de reclamaciones.

Además de revocar el certificado SSL EV multidominio de Entrust, los suscriptores, proveedores y otros terceros pueden rellenar nuestro formulario de reclamaciones en línea para reportar compromiso de clave privada, uso indebido del certificado u otros tipos de fraude.

Investigación

Entrust iniciará la investigación dentro de las siguientes (24) horas y decidirá si revocar o ejecutar otra acción adecuada. Para ello, seguirá los siguientes criterios:

1. La naturaleza del supuesto problema;
2. Número de problemas reportados sobre un certificado EV o sitio web;
3. La identidad de los reclamantes (por ejemplo, tiene más peso un agente de la ley denunciando actividades ilegales en un sitio web que un cliente alegando que nunca recibió el producto solicitado); y
4. Legislación relevante en vigor.

Respuesta

Entrust responde 24/7 cuando se reportan problemas con certificados. Si corresponde, revoca el certificado afectado e incluso transmite el informe a las autoridades.