Перейти к основному содержимому
Изображение
рисунок фиолетового шестиугольника

Что такое «расширенная проверка»?

Расширенная проверка относится к строгим, стандартизированным методам валидации, которые должен использовать CA перед выдачей SSL-сертификатов. Руководство по расширенной проверке, издаваемое организацией CA/Browser Forum, можно найти здесь.

Что такое расширенная проверка EV Entrust (Extended Validation) сертификата Multi-Domain SSL Certificate?

SSL-сертификат расширенной проверки (EV), созданный отраслевым объединением под названием CA/Browser Forum. Сертификаты этой новой категории были разработаны в ответ на растущую угрозу фишинговых атак с целью повышения доверия потребителей к онлайн-транзакциям. Сертификаты EV будут выдаваться веб-сайтам только после тщательной проверки их идентификационных данных. Веб-браузеры будут отражать повышенный уровень доверия к идентификационным данным с помощью явных и четких индикаторов, таких как зеленая адресная строка в Internet Explorer и Mozilla Firefox и расширенные зеленые индикаторы в новых версиях Opera и Google Chrome.

Что такое CA/Browser Forum?

CA/Browser Forum — это группа поставщиков услуг центров сертификации, производителей веб-браузеров и других отраслевых специалистов, которые совместно изучают способы снижения угрозы фишинга. Ранее эту группу возглавляла компания Entrust, и она продолжает оказывать поддержку этой инициативы в настоящий момент. Дополнительную информацию можно найти на веб-сайте CA/Browser Forum.

Какие браузеры поддерживают сертификаты Entrust Multi-Domain EV SSL Certificate?

Большинство браузеров, используемых сегодня, отображают зеленые индикаторы доверия для EV Entrust. Некоторые из основных браузеров, поддерживающих EV Entrust: Internet Explorer (версия 7 и выше), Mozilla Firefox версии 3, Opera версии 8, Safari версии 3.2, Google Chrome и Flock версии 2.

Как сертификаты Entrust Multi-Domain EV SSL Certificate повышают доверие потребителей?

В связи с многочисленными фишинговыми атаками и онлайн-мошенничеством потребители все больше боятся кражи персональных данных. Поэтому им важно знать наверняка, что сайту, на котором они вводят свои персональные данные, можно доверять. Если потребители не доверяют сайту и опасаются, что их персональные данные передаются без шифрования, они уходят с сайта и переносят свои транзакции к другому поставщику. Сертификаты Entrust Multi-Domain EV SSL Certificate помогают повысить уровень доверия потребителей с помощью явных и последовательных индикаторов, сопровождающих онлайн-транзакции потребителей. Теперь замок отображается в верхней части окна браузера, а не внизу, и если на веб-сайте установлен сертификат Entrust Multi-Domain EV SSL Certificate, адресная строка будет отображаться зеленым цветом, а также будет отображаться идентификатор сайта и название центра сертификации. Эти индикаторы позволяют потребителю совершать покупки с уверенностью.

Кто может приобрести SSL-сертификат EV Entrust?

Широкий круг субъектов предпринимательской деятельности в настоящее время имеют право на получение сертификатов EV Entrust:

  1. Частная организация. Неправительственное юридическое лицо (будь то частная собственность или публичная торговля), существование которого создано путем подачи заявления (или акта) в Юрисдикции государственной регистрации учредительного агентства.
  2. Государственный орган. Государственное юридическое лицо, агентство, департамент, министерство или аналогичный элемент правительства страны или политическое подразделение внутри такой страны (например, штат, провинция, город, округ и т. д.).
  3. Юридическое лицо. Любая организация, которая не относится ни к частным организациям, ни к государственным учреждениям. В качестве примеров можно привести общие партнерства, неинкорпорированные ассоциации и индивидуальных предпринимателей.

Как купить сертификат Entrust Multi-Domain EV SSL Certificate?

Сертификаты Entrust Multi-Domain EV SSL Certificate сначала можно будет приобрести на веб-сайте Entrust Certificate Services, а затем через наш расширенный интерфейс для клиентов, управляющих большими наборами сертификатов.

Могу ли я обновить существующие SSL-сертификаты Entrust до новых сертификатов Entrust Multi-Domain EV SSL Certificate?

Да. Обратите внимание, что перед выдачей сертификатов клиенты, использующие преимущества этих промоакций, должны быть проверены в соответствии с новыми руководящими принципами EV.

Каков максимальный срок действия сертификата Entrust Multi-Domain EV SSL Certificate?

Максимальный срок действия сертификатов Entrust Multi-Domain EV SSL Certificate составляет 2 года (24 месяца).

Чем будут отличаться сертификаты Multi-Domain EV SSL Certificate от используемых в настоящее время SSL-сертификатов Entrust?

Основное различие заключается в том, что происходит перед выдачей SSL-сертификатов EV Entrust. Перед выдачей любого SSL-сертификата компания Entrust выполняет проверку личности инициатора запроса.

В соответствии с новой моделью EV Entrust проверка субъекта (например, компании или оператора веб-сайта), запрашивающего многодоменный SSL-сертификат EV Entrust, будет выполняться с использованием стандартных принципов, определенных организацией CA/Browser Forum. Это отличается от текущих практик тем, что разные центры сертификации используют совершенно разные стандарты проверки. Большинство центров сертификации применяют строгие практики проверки, однако есть центры, которые этого не делают, что снижает общую безопасность SSL для потребительских сделок.

Сертификаты, выданные с использованием «Extended Validation» (расширенной проверки), будут включать ссылку на особую политику сертификации для EV Entrust. Каждый центр сертификации будет иметь уникальную политику и идентификатор объекта политики (OID). Браузеры, поддерживающие EV, будут вести себя иначе при считывании сертификата с OID политики EV, который они признают.

Обратите внимание, что на техническом уровне сертификаты Entrust Multi-Domain EV SSL Certificate не будут отличаться от стандартных сертификатов X.509 и будут обратно совместимы со старыми браузерами. Сертификаты Entrust Multi-Domain EV SSL Certificate будут включать в себя более подробную информацию о субъекте (получателе сертификата) — включая юрисдикцию регистрации.

Достаточно ли моих существующих SSL-сертификатов Entrust для обеспечения безопасности онлайн-транзакций?

С точки зрения криптографии — да, достаточно. Действующие SSL-сертификаты Entrust по-прежнему обеспечивают зашифрованные сеансы SSL.

Однако наибольшей угрозой для онлайн-транзакций являются не проблемы с шифрованием, а фишинг. Фишинговые атаки пользуются неспособностью потребителя различать надежные сайты и сайты самозванцев.

Entrust EV помогает потребителям отличать надежные сайты от ненадежных. С точки зрения удобства использования эффективность сертификатов без Entrust EV будет снижаться по мере того, как потребители будут переходить на новые браузеры, что повлечет за собой ожидание надежных индикаторов доверия, предоставляемых сертификатами Entrust Multi-Domain EV SSL Certificates при проведении транзакций.

Нужно ли переходить на сертификаты Entrust Multi-Domain EV SSL Certificate в моем случае?

Вам следует задуматься о возможности перехода на сертификаты Entrust Multi-Domain EV SSL Certificate, если вы управляете веб-сайтом, который проводит транзакции электронной коммерции, или если вы собираете конфиденциальную или персональную информацию.

Фишинговые атаки представляют реальную угрозу подрыва доверия потребителей к Интернету, и сертификаты Entrust Multi-Domain EV SSL Certificate могут стать частью решения только в случае их развертывания и широкого использования

Как будут вести себя старые браузеры без поддержки EV на сайтах с сертификатами Entrust Multi-Domain EV SSL Certificate?

Браузеры без поддержки EV будут вести себя так же, как и сегодня. Пока сертификат выдан CA, которому доверяет браузер, замок будет закрыт, как предусмотрено.

Снимок экрана браузера с SSL-сертификатом

В большинстве случаев поддержка веб-сайтов как для старых браузеров, так и для новых браузеров EV потребует установки на веб-сервере перекрестного сертификата, который был выдан корневым СА, уже встроенным в старые браузеры. Перекрестный сертификат будет устанавливать доверие к более новому СА, выдающему сертификаты EV, а фактический сертификат веб-сайта на веб-сервере будет выдан таким СА.

Как будут вести себя браузеры при заходе на веб-сайт с недействительным сертификатом или фишинговый сайт?

Реакция может быть разной в зависимости от типа браузера, но, как правило, красная адресная строка может указывать на то, что вы зашли на известный фишинговый сайт.

Красный уровень тревоги блокирует прямой доступ к фишинговым сайтам, хотя при желании пользователи все же могут перейти на сайт.

Снимок экрана с примером фишингового сайта

Красная адресная строка может также указывать на наличие проблемы с сертификатом или на то, что он был выдан центром сертификации Certificate Authority, который не считается надежным.

Internet Explorer отображает явные предупреждения для пользователей и рекомендации не заходить на страницу.

Снимок экрана с предупреждением о сертификате безопасности

Если пользователь игнорирует предупреждения и переходит на сайт, адресная строка становится красной и появляется красный значок безопасности.

Снимок экрана браузера с красным значком безопасности

Я управляю собственным СА на основе программного обеспечения Entrust, могу ли я выдавать сертификаты EV Entrust самостоятельно?

Да, если у вас есть СА от компании Entrust, вы сможете выдавать сертификаты Entrust Multi-Domain EV SSL Certificate, как только ваш СА будет распознан браузерами с поддержкой EV. Это либо повлечет за собой перекрестную сертификацию с CA уже в корневых встраиваемых программах EV основных браузеров, либо вы отправите свой собственный корень в эти программы. В обоих случаях вам потребуется пройти аудит в соответствии с руководством CA/Browser Forum.

Я оператор сайта. Как повлияют на мою работу сертификаты Entrust Multi-Domain EV SSL Certificate?

Операторам веб-сайтов следует учитывать некоторые изменения, которые включают размещение в сертификате более подробной информации об абоненте, в том числе:

  • имя домена;
  • название организации;
  • юрисдикция регистрации;
  • город или населенный пункт;
  • штат или провинция (если таковые имеются);
  • страна — обязательно.

Некоторые инструменты создания CSR могут не позволять добавлять эту информацию в сертификаты. Тем не менее, компания Entrust сможет добавить эту информацию в ваши сертификаты Entrust Multi-Domain EV SSL Certificate после заказа сертификатов.

Обратите внимание, что стандарты EV не позволяют использовать сертификаты с поддержкой поддоменов, что может повлиять на количество приобретаемых сертификатов.

«Почему браузеры не могут просто отображать зеленую адресную строку для текущих SSL-сертификатов Entrust?»

Можно было бы включить более явные функции безопасности в браузерах на основе текущих SSL-сертификатов, однако проблема заключается в непоследовательном уровне проверки для текущих сертификатов.

Некоторые СА в настоящее время выполняют гораздо менее строгие проверки компаний, запрашивающих SSL-сертификаты, поэтому существует риск того, что фишинговый сайт может получить действительный SSL-сертификат.

Учитывая этот риск, CA/Browser Forum намеревался разработать последовательный общий набор руководящих принципов проверки, которым могли бы следовать участвующие CA и на которые производители браузеров могли бы положиться, прежде чем включать более заметные функции безопасности, такие как зеленая адресная строка.

Могу ли я получить сертификат Entrust Multi-Domain EV SSL Wildcard Certificate?

Нет, руководство по EV Entrust для SSL не разрешает использование сертификатов с поддержкой поддоменов. В некоторых случаях использование расширений subjectAltName может обеспечить те же преимущества, что и сертификат с поддержкой поддоменов, и это допускается в соответствии с руководством по EV Entrust.

При каких условиях будет отозван мой сертификат Entrust Multi-Domain EV SSL Certificate?

Компания Entrust ОБЯЗАНА отозвать выданный сертификат Entrust Multi-Domain EV SSL Certificate при возникновении любого из перечисленных ниже событий.

  • Абонент просит отозвать свой сертификат Entrust Multi-Domain EV SSL Certificate.
  • Абонент указывает, что он не имел полномочий на исходный запрос сертификата Entrust Multi-Domain EV SSL Certificate, и впоследствии не подтверждает свои полномочия.
  • Компания Entrust получает разумные доказательства того, что закрытый ключ абонента (соответствующий открытому ключу в сертификате Entrust Multi-Domain EV SSL Certificate) был скомпрометирован, или что сертификат Entrust Multi-Domain EV SSL Certificate был использован ненадлежащим образом.
  • Entrust получает уведомление или иным образом узнает, что абонент нарушает любое из своих существенных обязательств по абонентскому соглашению.
  • Компания Entrust получает уведомление или иным образом узнает, что суд или арбитр отозвал право абонента использовать доменное имя, указанное в сертификате Entrust Multi-Domain EV SSL Certificate, или что абонент не продлил срок действия доменного имени.
  • Компания Entrust получает уведомление или иным образом узнает о существенном изменении информации, содержащейся в сертификате Entrust Multi-Domain EV SSL Certificate.
  • СА определяет, по собственному усмотрению, что сертификат Entrust Multi-Domain EV SSL Certificate не был выдан в соответствии с условиями настоящего Руководства или политик CA в отношении EV Entrust.
  • Компания Entrust устанавливает, что информация, содержащаяся в сертификате Entrust Multi-Domain EV SSL Certificate, не является точной.
  • Entrust прекращает операции по любой причине и не договаривается с другим центром сертификации EV о предоставлении поддержки отзыва сертификата EV Entrust.
  • Право компании Entrust выдавать многодоменные SSL-сертификаты EV Entrust в соответствии с настоящим Руководством истекает, отзывается или прекращается [за исключением случаев, когда СА принимает меры для последующей поддержки хранилища CRL/OCSP].
  • Закрытый ключ Entrust для этого сертификата Entrust Multi-Domain EV SSL Certificate был скомпрометирован.
  • Компания Entrust получает уведомление или иным образом узнает, что абонент был добавлен в черный список в качестве стороны или лица под санкциями или абонент осуществляет деятельность из региона, который находится под санкциями в соответствии с законами в юрисдикции CA.

Что представляет собой функция отчетности и реагирования на проблемы с сертификатами EV?

Отчетность

Если вы хотите отозвать свой сертификат Entrust Multi-Domain EV SSL Certificate по любой из указанных выше причин, вы можете связаться с компанией Entrust, заполнив нашу онлайн-форму жалобы.

Помимо вопросов, связанных с отзывом сертификата Entrust Multi-Domain EV SSL Certificate, абоненты, проверяющие стороны, поставщики программного обеспечения и другие третьи стороны могут связаться с компанией Entrust через нашу онлайн-форму жалобы, чтобы сообщить о жалобах или подозрениях на компрометацию закрытого ключа, ненадлежащее использование сертификата EV или другие виды мошенничества, несанкционированного доступа, ненадлежащего использования или ненадлежащего поведения, связанного с сертификатами EV.

Расследование

Entrust начнет расследование всех отчетов о проблемах с сертификатом в течение двадцати четырех (24) часов и решит, оправдан ли отчет или другие соответствующие действия, по крайней мере, на основании следующих критериев.

  1. Характер предполагаемой проблемы.
  2. Получено несколько отчетов о проблемах с сертификатом о конкретном сертификате EV или веб-сайте.
  3. Личность заявителей (например, жалобы сотрудника правоохранительных органов на то, что веб-сайт занимается незаконной деятельностью, имеют больший вес, чем жалоба потребителя на то, что он никогда не получал заказанные им товары).
  4. Соответствующее действующее законодательство.

Ответ

Компания Entrust располагает ресурсами, которые позволяют круглосуточно реагировать на любые уведомления о проблеме с сертификатом высокого приоритета и при необходимости направлять такие жалобы в правоохранительные органы и (или) отзывать многодоменный SSL-сертификат EV Entrust, который становится предметом такой жалобы.