Certificati SSL multidominio EV di Entrust

Convalida estesa (Extended Validation) si riferisce a rigorosi metodi di convalida standard del settore che devono essere utilizzati da una CA prima di emettere un certificato SSL. Le linee guida per la convalida estesa vengono pubblicate dal CA/Browser Forum qui.

Un certificato SSL di convalida estesa (Extended Validation, EV) creato da un consorzio di settore denominato CA/Browser forum. Questa nuova categoria di certificati è stata concepita in risposta alla crescente minaccia di attacchi di phishing con l'obiettivo di aumentare la fiducia dei consumatori nelle transazioni online. I certificati EV verranno rilasciati ai siti web solo dopo una rigorosa convalida della loro identità. I browser web rifletteranno questo livello più elevato di garanzia dell’identità con indicatori di affidabilità evidenti e distinti, come la barra degli indirizzi in verde in Internet Explorer e Mozilla Firefox, e indicatori verdi avanzati nelle ultime versioni di Opera e Google Chrome.

Il CA/Browser Forum è un gruppo di fornitori di servizi di autorità di certificazione, produttori di browser web e altri partecipanti del settore che si sono riuniti per cercare modi per ridurre la minaccia di phishing. Entrust in precedenza presiedeva questo gruppo e tuttora ne sostiene fortemente l’operato. Ulteriori informazioni sono disponibili sul sito web del CA/Browser Forum.

La maggior parte dei browser attualmente in uso mostra indicatori di fiducia di colore verdi per i certificati EV. Alcuni dei principali browser che supportano EV sono Internet Explorer (versione 7 e successive), Mozilla Firefox versione 3, Opera versione 8, Safari versione 3.2, Google Chrome e Flock versione 2.

Dati i numerosi incidenti di phishing dannosi e frodi online, i consumatori temono il furto di identità e vorrebbero essere rassicurati sul fatto che il sito in cui stanno inserendo i propri dati personali possa essere considerato affidabile. Se i consumatori ritengono che il sito non sia affidabile e le loro informazioni personali non siano crittografate, lasceranno il sito ed effettueranno le loro transazioni presso un altro fornitore. I certificati SSL multidominio EV Entrust contribuiranno ad aumentare la fiducia dei clienti mostrando loro indicatori di fiducia evidenti e coerenti mentre questi effettuano transazioni online. Ora il lucchetto si trova ora nella parte superiore della finestra del browser anziché in basso e se un sito web dispone di un certificato SSL multidominio EV Entrust installato, il colore della barra degli indirizzi sarà verde e mostrerà l’identità del sito e il nome dell’autorità di certificazione per far sapere al cliente che può effettuare acquisti in sicurezza.

Ad oggi, una vasta gamma di entità aziendali sono idonee per i certificati EV:

1. Organizzazione privata: Un’entità giuridica non governativa (indipendentemente dal fatto che i diritti di proprietà siano detenuti privatamente o quotati in borsa) la cui esistenza è stata creata tramite iscrizione (o da un atto) nel registro delle imprese nella sua giurisdizione di costituzione.
2. Ente governativo: Un’entità legale, un’agenzia, un dipartimento, un ministero o un elemento simile del governo di un paese gestito dal governo o da una suddivisione amministrativa all'interno di tale paese (come uno stato, una provincia, una città, una contea, ecc.).
3. Entità aziendale: Qualsiasi entità che non sia né un’organizzazione privata né un ente governativo. Gli esempi includono le società in nome collettivo, le associazioni prive di personalità giuridica e le imprese individuali.

I certificati SSL multidominio EV Entrust saranno disponibili per l’acquisto tramite il sito web Entrust Certificate Services Quie in seguito tramite la nostra interfaccia avanzata per i clienti che gestiscono pool di certificati più grandi.

Sì. Tieni presente che i clienti che usufruiscono di queste promozioni dovranno essere convalidati secondo le nuove linee guida EV prima che i certificati possano essere emessi.

I certificati SSL multidominio EV Entrust hanno una durata massima di 2 anni (24 mesi).

La differenza principale sarà in ciò che accade prima dell’emissione dei certificati SSL EV Entrust vengano emessi. Prima di emettere qualsiasi certificato SSL Entrust, Entrust esegue dei controlli per “esaminare” o convalidare l'identità del richiedente.

Con il nuovo modello EV, la convalida di un’entità (ad esempio un’azienda o un operatore di un sito web) che richiede un certificato SSL multidominio EV Entrust verrà eseguita utilizzando le linee guida standard del settore, come definite dal CA/Browser Forum. Ciò è diverso dalle pratiche correnti in quanto diverse autorità di certificazione hanno standard di convalida molto diversi fra loro. Sebbene la maggior parte delle autorità di certificazione disponga di pratiche di convalida rigorose, ciò non vale per tutte e questo mina la sicurezza generale dell’SSL per le transazioni dei clienti.

I certificati emessi utilizzando la “convalida estesa” includeranno un riferimento a criteri di certificati specifici per EV. Ciascuna autorità di certificazione avrà una politica e un identificatore di oggetto criterio (OID) univoci. I browser che supportano EV si comporteranno in modo diverso quando incontreranno un certificato emesso in base a un OID di criteri EV che riconoscono.

Si noti che a livello tecnico, i certificati SSL multidominio EV Entrust non saranno diversi dai certificati X.509 standard e saranno retrocompatibili con i browser meno recenti. I certificati SSL multidominio EV Entrust includeranno maggiori informazioni sul soggetto (l’entità a cui è stato rilasciato il certificato), inclusa la giurisdizione di costituzione.

Da una prospettiva crittografica, sì, i tuoi attuali certificati SSL Entrust realizzeranno ancora sessioni SSL crittografate.

Tuttavia, la più grande minaccia per le transazioni online non è di natura crittografica: il phishing. Il phishing sfrutta l'incapacità del consumatore di distinguere tra siti affidabili e siti falsi.

L’iniziativa dell’EV è mirata a rendere più facile per i consumatori fare questa distinzione. Dal punto di vista dell’usabilità, i certificati non EV avranno un’efficacia decrescente man mano che i consumatori adotteranno i nuovi browser e cominceranno ad aspettarsi i forti indicatori di fiducia forniti dai certificati SSL multidominio EV Entrust durante lo svolgimento delle transazioni.

Se gestisci un sito Web che esegue transazioni di e-commerce o se raccogli informazioni sensibili o private, dovresti considerare di passare ai certificati SSL multidominio EV Entrust.

Gli attacchi di phishing sono una vera minaccia per la fiducia che i consumatori hanno riposto in Internet e nei certificati SSL multidominio EV Entrust e possono essere parte della soluzione solo se vengono ampiamente distribuiti e utilizzati.

I browser senza supporto EV continueranno a comportarsi come fanno oggi. Finché il certificato sarà emesso da una CA considerata attendibile dal browser, il lucchetto si chiuderà come previsto.

Nella maggior parte dei casi, il supporto del sito Web sia per i browser meno recenti che per i browser EV più recenti richiederà l’installazione di un certificato incrociato sul server web emesso da una CA di root già incorporata nei browser meno recenti. La certificazione incrociata certificherà una CA emittente specifica per EV più recente come attendibile e il certificato del sito web del server effettivo verrà emesso da tale CA emittente.

La risposta può variare a seconda del tipo di browser ma, in generale, una barra degli indirizzi di colore rosso potrebbe indicare che si è effettuato l’accesso a un sito di phishing noto.

L’allarme rosso blocca immediatamente l’accesso ai siti di phishing segnalati, sebbene gli utenti possano accedere al sito, se lo desiderano.

Una barra degli indirizzi di colore rosso potrebbe anche indicare che potrebbe esserci un problema con il certificato o che questo potrebbe non essere stato emesso da un'autorità di certificazione attendibile.

Internet Explorer include avvisi importanti per gli utenti e consiglierà agli utenti di non visitare la pagina.

Se l’utente ignora gli avvisi e prosegue, la barra degli indirizzi diventa rossa e vengono visualizzati i "badge di sicurezza".

Sì, se possiedi una CA di root di Entrust, sarai in grado di emettere certificati SSL multidominio EV Entrust una volta che la tua CA sarà riconosciuta dai browser pronti per gli EV. Ciò comporterà una certificazione incrociata con una CA già presente nei programmi di incorporamento della radice EV dei principali browser o l’invio della propria radice in tali programmi. In entrambi i casi sarà necessario sottoporsi a un controllo secondo le linee guida del CA/Browser Forum.

Per gli operatori di siti web, alcune modifiche da considerare comprendono l’inserimento di ulteriori dettagli sull'abbonato nel certificato, tra cui:

• Nome del dominio
• Nome dell'organizzazione
• Giurisdizione di costituzione
• Città o paese
• Stato o provincia (se presente)
• Paese - obbligatorio

Alcuni strumenti per la generazione di CSR potrebbero non consentire l’aggiunta di queste informazioni ai certificati. Tuttavia, Entrust sarà in grado di aggiungere queste informazioni ai tuoi certificati SSL multidominio EV Entrust una volta effettuato l’ordine per il certificato.

Tieni presente che gli standard EV non consentono l’uso di certificati wildcard che possono influire sul numero di certificati da dover acquistare.

Sebbene sia possibile abilitare funzionalità di sicurezza più importanti nei browser basati sugli attuali certificati SSL, il problema è si ha con il livello di convalida incoerente dietro gli attuali certificati.

Ad oggi, alcune CA eseguono controlli di convalida molto meno rigorosi sulle aziende che richiedono certificati SSL, il che introduce il rischio che un sito di phishing possa acquisire un certificato SSL valido.

Tenendo questo rischio in mente, il CA/Browser Forum si è proposto di stabilire un insieme coerente e comune di linee guida di convalida che le CA partecipanti potrebbero seguire e su cui i produttori di browser potrebbero fare affidamento prima di attivare funzioni di sicurezza più importanti come la barra degli indirizzi di colore verde.

No, le linee guida SSL EV non consentono i certificati wildcard. In alcuni casi, l’uso delle estensioni subjectAltName può fornire gli stessi vantaggi di un certificato wildcard e ciò è consentito dalle linee guida EV.

Entrust È OBBLIGATA a revocare un certificato SSL multidominio EV Entrust che ha emesso al verificarsi di uno dei seguenti eventi:

• L’abbonato richiede la revoca del proprio certificato SSL multidominio EV Entrust.
• L’abbonato indica che la richiesta di certificato SSL multidominio EV Entrust originale non era autorizzato e non concede retroattivamente l’autorizzazione.
• Entrust ottiene una prova ragionevole che la chiave privata dell’abbonato (corrispondente alla chiave pubblica nel certificato SSL multidominio EV Entrust ) è stata compromessa o che il certificato SSL multidominio EV Entrust è stato altrimenti utilizzato in modo improprio.
• Entrust riceve una notifica o viene altrimenti a conoscenza del fatto che un Abbonato viola uno qualsiasi dei propri obblighi materiali ai sensi del Contratto di abbonamento.
• Entrust viene informata o viene altrimenti a conoscenza del fatto che un tribunale o un arbitro ha revocato il diritto di un abbonato di utilizzare il nome di dominio elencato nel certificato SSL multidominio EV Entrust o che l'abbonato non è riuscito a rinnovare il nome di dominio.
• Entrust viene informata o viene altrimenti a conoscenza di una modifica sostanziale delle informazioni contenute nel certificato SSL multidominio EV Entrust.
• Viene determinato, a esclusiva discrezione della CA, che il certificato SSL multidominio EV Entrust non è stato emesso in conformità con i termini e le condizioni delle presenti Linee guida o delle criteri di convalida estesa (EV) della CA.
• Qualora Entrust determini che le informazioni riportate nel certificato SSL multidominio EV Entrust non sono accurate.
• Entrust interrompe le operazioni per un qualsiasi motivo e non ha predisposto che un'altra CA EV fornisca supporto per la revoca del certificato EV.
• Il diritto di Entrust di emettere il certificato SSL multidominio EV Entrust ai sensi delle presenti Linee guida scade o viene revocato o interrotto [a meno che la CA non si accordi per continuare a mantenere il repository CRL/OCSP].
• La chiave privata di Entrust per quel certificato SSL multidominio EV Entrust è stata compromessa.
• Entrust viene informata o viene altrimenti a conoscenza del fatto che un abbonato è stato aggiunto come parte negata o persona vietata a una lista nera o che sta operando da una destinazione vietata secondo la legge della giurisdizione in cui la CA opera.

Report

Se desideri revocare il tuo certificato SSL multidominio EV Entrust per uno dei motivi sopra indicati, puoi contattare Entrust compilando il nostro modulo di reclamo online.

Oltre alla revoca del certificato SSL multidominio Entrust EV, gli abbonati, le parti affidatarie, i fornitori di software applicativi e altre terze parti possono contattare Entrust compilando il nostro modulo di reclamo online per segnalare reclami o la sospetta compromissione della chiave privata, l’uso improprio del certificato EV o altri tipi di frode, la compromissione, l’uso improprio o una condotta inappropriata relativi ai certificati EV.

Indagine

Entrust avvierà le indagini su ciascuna segnalazione di problemi relativi ai certificati entro ventiquattro (24) ore e deciderà se la revoca o un’altra azione appropriata è giustificata in base, al minimo, ai seguenti criteri:

1. La natura del presunto problema;
2. Si ricevono numerose segnalazioni di problemi del certificato su un particolare certificato EV o sito web;
3. L’identità del segnalante (ad esempio, le segnalazioni di un funzionario delle forze dell’ordine riportanti che un sito web è impegnato in attività illegali hanno più peso di una segnalazione di un consumatore che afferma di non aver mai ricevuto la merce ordinata); e
4. Legislazione pertinente in vigore.

Risposta

Entrust sarà disponibile 24 ore su 24, 7 giorni su 7, a rispondere internamente a qualsiasi segnalazione di problema relativi a certificato ad alta priorità e, se del caso, inoltrerà tali reclami alle forze dell’ordine e/o revocherà l’eventuale certificato SSL multidominio EV Entrust oggetto di tale reclamo.