확장 검증 증명서

Extended Validation Certificate
DigiCert에 의해 발행된 확장 검증 증명서의 예

Extended Validation Certificate(EV; 확장 검증 증명서)는 소유자의 법적 실체를 증명하는 X.509에 준거한 증명서로 EV 증명서를 발행할 수 있는 인증국 키에 의해 서명됩니다.EV 증명서는, HTTPS와의 Web 통신의 시큐러티, 소프트웨어와 문서의 서명 등, 다른 X.509 증명서와 같은 방법으로 사용할 수 있습니다.도메인 인증 인증서 및 조직 인증 인증서와 달리 EV 인증서는 CA(인증 기관)의 하위 집합에서만 발급할 수 있으며 인증서 발급 전에 요청 엔티티의 법적 ID를 확인해야 합니다.

2021년 2월 현재 모든 주요 웹 브라우저(Google Chrome, Mozilla Firefox, Microsoft Edge 및 Apple Safari)에는 인증서의 EV 상태와 EV 인증서의 검증된 법적 ID를 표시하는 메뉴가 있습니다.모바일 브라우저는 일반적으로 도메인 검증(DV) 및 조직 검증(OV) 인증서와 동일한 방식으로 EV 인증서를 표시합니다.온라인상에서 가장 인기 있는 10개의 웹사이트 중 아무도 EV 인증서를 사용하지 않고 있으며,[1][self-published source?] 그 사용에서 벗어나는 추세이다.

소프트웨어의 경우, OS(Microsoft Windows 등)에 의해서, 인스톨을 진행하기 전에, 확인된 법적 ID 가 유저에게 표시됩니다.

확장 검증 증명서는 에 의해 지정된 파일 형식으로 저장되며 일반적으로 조직 검증 증명서도메인 검증 증명서동일암호화를 사용하기 때문에 대부분의 서버 및 사용자 에이전트 소프트웨어와 호환됩니다.

EV 증명서 발급 기준은 CA/Browser [2]Forum이 정한 '확장 검증 가이드라인'에 의해 정의되어 있습니다.

확장 검증 증명서를 발행하려면 CA는 도메인 이름 및 호스팅 서버에 대한 제어와 함께 요청 엔티티의 ID 및 작동 상태를 확인해야 합니다.

역사

CA/Browser Forum 소개

2005년 Comodo Group(현재는 Xcitium)의 CEO인 Melih Abdulhayoglu는 SSL/[3]TLS 증명서 발급 표준을 개선하기 위해 CA/Browser Forum이 된 조직의 첫 회의를 소집했습니다.2007년 6월 12일 CA/Browser Forum은 첫 번째 버전의 Extended Validation(EV; 확장 검증) SSL Guidelines를 공식 비준하였으며, 이는 즉시 발효되었습니다.정식 승인에 의해 2년 이상의 노력이 성공적으로 종료되고 신뢰할 수 있는 웹 사이트 ID를 인터넷에 제공하는 인프라스트럭처가 제공되었습니다.그 후 2008년 4월 포럼은 회원 CA와 첫 번째 버전의 사용이 승인된 이후 수개월 동안 얻은 의존 당사자 애플리케이션 소프트웨어 공급업체의 실제 경험을 바탕으로 가이드라인 버전 1.1을 발표했다.

브라우저에서 특수 UI 표시기 생성

대부분의 주요 브라우저는 표준 작성 직후 EV 증명서에 의해 보호된HTTPS를 통해 로드된 페이지에 대해 특별한 사용자 인터페이스 인디케이터를 작성했습니다.여기에는 Google Chrome 1.0, Internet Explorer 7.0, Firefox 3, Safari 3.2, Opera 9.[4]5 등이 포함됩니다.게다가 iOS용 Safari, Windows Phone, Android용 Firefox, Android용 Chrome, iOS 등 일부 모바일 브라우저에는 이러한 UI 표시기가 추가되었다.일반적으로 EV를 지원하는 브라우저는 EV 인증서의 '제목' 필드에 포함된 검증된 ID(일반적으로 조직 이름과 관할 구역의 조합)를 표시합니다.

대부분의 실장에서는, 다음과 같은 확장 표시 기능이 있습니다.

  • 증명서를 소유하고 있는 회사 또는 단체의 이름
  • 주소 표시줄에도 있는 잠금 기호로 웹 사이트의 보안 상태에 따라 색상이 달라집니다.

잠금 기호를 누르면 EV 인증서를 발급한 인증 기관의 이름을 포함하여 인증서에 대한 자세한 정보를 얻을 수 있습니다.

특수 UI 표시기 제거

2018년 5월, 구글은 EV [5]인증에 대한 강조를 없애기 위해 구글 크롬의 사용자 인터페이스를 재설계할 계획을 발표했다.2019년 출시된 Chrome 77은 옴니박스에서 EV 인증서 표시를 제거했지만, EV 인증서 상태는 잠금 아이콘을 클릭한 후 "인증서"[6]에서 법인명을 확인하면 확인할 수 있습니다.Firefox 70은 옴니박스 또는 URL 바의 구별을 삭제했지만(EV 및 DV 증명서는 잠금 아이콘만으로 동일하게 표시됨), 인증서 EV 상태에 대한 자세한 내용은 잠금 [7]아이콘을 클릭하면 열립니다.

iOS 12MacOS 모하비(2018년 9월 출시)의 애플 사파리는 EV [1]상태의 시각적 차이를 없앴다.

발행기준

독립 적격 감사 심사를 통과한 CA만이 [8]EV를 제공할 수 있으며, 전 세계 모든 CA는 다음을 목적으로 하는 동일한 상세 발행 요건을 따라야 한다.

  • 웹 사이트 소유자의 법적 정체성 및 운영 및 물리적 존재 확인
  • 신청자가 도메인 이름 소유자인지 도메인 이름에 대한 배타적 통제권을 가지고 있는지 확인한다.
  • 웹사이트 소유자를 대리하는 개인의 신원과 권한을 확인하고, 법적 의무에 관한 서류에 권한을 부여받은 담당자가 서명했는지 확인합니다.
  • 증명서 유효기간을 제한하여 증명서 정보가 최신임을 확인합니다.CA/B 포럼은 또한 도메인 검증 데이터와 조직 데이터의 최대 재사용 기간을 2020년 3월부터 최대 397일(398일 이내)로 제한하고 있습니다.

.onion 도메인의 Extended Validation Certificates를 제외하고[9] 와일드카드 Extended Validation Certificate를 취득할 수 없습니다.대신 모든 완전 수식 도메인 이름을 증명서에 포함시켜 인증국에 [10][11]의해 검사해야 합니다.

확장 검증 증명서 식별

EV 증명서는 표준 X.509 디지털 증명서입니다.EV 증명서를 식별하는 주요 방법은 [Certificate Policies]확장 필드를 참조하는 것입니다.각 발행자는 이 필드에서 다른 객체 식별자(OID)를 사용하여 EV 증명서를 식별하며, 각 OID는 발행자의 인증 프랙티스 스테이트먼트에 기재되어 있습니다.일반적으로 루트 인증국과 마찬가지로 브라우저가 모든 발행자를 인식하지 않을 수 있습니다.

EV HTTPS 증명서에는 다음 용도의 X.509 OID를 가진 서브젝트가 포함되어 있습니다.jurisdictionOfIncorporationCountryName(OID: 1.3.6.1.4.1.311.60.2.1.3),[12] jurisdictionOfIncorporationStateOrProvinceName(OID: 1.3.6.1.4.1.311.60.2.1.2) (옵션),[13]jurisdictionLocalityName(OID: 1.3.6.1.4.1.311.60.2.1.1.1) (옵션),[14] businessCategory(OID: 2.5.4.15)[15]serialNumber(OID: 2.5.4.5),[16]serialNumber관련 국무장관(US) 또는 정부 사업자 등록기관(US외)[citation needed]의 ID 및 웹 브라우저 등의 EV 인식 소프트웨어가 [17]인식할 수 있도록 CA 고유의 정책 식별자를 가리킵니다.이 식별자는[18][failed verification] EV 증명서를 정의하는 것이며 OV 증명서와의 차이입니다.

온라인 증명서 상태 프로토콜

주요 기사:온라인 증명서 상태 프로토콜

Extended Validation Certificate(확장 검증) 증명서 발급 기준에서는 해지 확인을 위해 즉시 Online Certificate Status Protocol을 지원할 필요가 없습니다.단, 브라우저에 의한 실효 체크에 대한 적시 응답 요건은 이전에 OCSP 지원을 실장하지 않은 대부분의 인증국에 의해 촉구되고 있습니다.발급 기준 섹션 26-A는 CA가 2010년 12월 31일 이후에 발급된 모든 인증서에 대해 OCSP 체크를 지원하도록 요구하고 있습니다.

비판

엔티티 이름 충돌

법적 엔티티 이름은 고유하지 않습니다.따라서 엔티티를 가장하려는 공격자는 같은 이름의 다른 기업(예를 들어 다른 주 또는 국가에 있는 경우)을 통합하고 유효한 증명서를 취득한 후 증명서를 사용하여 원래 사이트를 가장할 수 있습니다.한 사례에서, 한 연구원은 켄터키에 "Stripe, Inc."라는 이름의 회사를 설립했는데, 브라우저가 델라웨어에 내장된 Certificate of Payment Processor "Stripe, Inc."를 표시하는 것과 유사하게 표시된다는 것을 보여주었다.연구자는 데모 셋업에 약 1시간이 걸렸고, 소송비용은 100달러, 증명서는 77달러가 소요됐다고 주장했다.또한 "마우스 클릭을 충분히 하면 [사용자]가 [엔티티가 통합된] 도시와 주를 볼 수 있지만, 이들 중 어느 쪽도 일반적인 사용자에게는 도움이 되지 않으며 [EV 인증서] 표시기를 맹목적으로 신뢰할 가능성이 높다"[19]고 지적했다.

중소규모 기업에 대한 가용성

EV 인증서는 신뢰할 수 있는 웹사이트의 표시로 홍보되고[20] 보도되고 있기 때문에 일부 영세 자영업자들은 EV 인증서가 대기업에 부당한 혜택을 준다고 우려했다[21].EV[22] 가이드라인의 발행된 초안에서는 비법인 사업체는 제외되었으며 초기 언론 보도는[21] 이 문제에 초점을 맞췄다.EV 가이드라인 버전 1.0은 인정기관에 등록되어 있는 한 법인화되지 않은 협회를 수용하도록 개정되었으며, 확장 검증 인증을 받을 자격을 갖춘 조직의 수가 크게 확대되었습니다.

IE7 보안 UI를 통한 피싱 공격에 대한 효과

2006년 스탠포드 대학마이크로소프트 리서치 연구진Internet Explorer 7의 EV 디스플레이에 대한 사용성[23] 연구를 실시했습니다.그들의 논문은 "브라우저 보안 기능에 대한 교육을 받지 않은 참가자들은 확장된 검증 표시기를 알아차리지 못했고 대조군을 능가하지 못했다"는 결론을 내린 반면, "Internet Explorer 도움말 파일을 읽도록 요구받은 참가자들은 실제 사이트와 가짜 사이트를 모두 합법적인 사이트로 분류할 가능성이 더 높았다"고 결론지었다.

도메인 검증 증명서는 애초에 CA에 의해 작성되었습니다.

EV 인증서의 지지자들은 피싱 공격에 [24]대해 도움을 준다고 주장하지만, 보안 전문가인 Peter Gutmann은 새로운 종류의 인증서는 업계의 발급자들 사이에서 발생한 바닥 경쟁으로 인해 잠식된 CA의 수익을 회복한다고 말합니다.Peter Gutmann에 따르면 EV 인증서는 "피싱자가 악용하는 문제를 수정하지 않기 때문에" 피싱에 효과적이지 않습니다.그는 대형 상업용 CA들이 오래된 높은 [25]가격을 반환하기 위해 EV 인증서를 도입했다고 제안합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b "Extended Validation Certificates are Dead". Troy Hunt. 2018-09-17. Retrieved 2021-02-22.[자체 확인 소스]
  2. ^ "EV SSL Certificate Guidelines".
  3. ^ "How Can We Improve Code Signing?". eWEEK.
  4. ^ "What browsers support Extended Validation (EV) and display an EV indicator?". Symantec. Archived from the original on 2015-12-31. Retrieved 2014-07-28.
  5. ^ "Google Chrome: removal of Secure and HTTPS indicators". Ghacks. Retrieved 2021-06-15.
  6. ^ Abrams, Lawrence (11 September 2019). "Chrome 77 Released With Removed EV Certificate Indicator". Bleeping Computer. Retrieved 2021-06-14.{{cite web}}: CS1 maint :url-status (링크)
  7. ^ "Improved Security and Privacy Indicators in Firefox 70". Mozilla Security Blog. Retrieved 2019-10-17.
  8. ^ "Audit Criteria".
  9. ^ "Ballot 144 – Validation rules for .onion names; Appendix F section 4". CA/Browser Forum. Retrieved 6 March 2017.
  10. ^ "Guidelines For The Issuance And Management Of Extended Validation Certificates, Version 1.5.2" (PDF). CA/Browser Forum. 2014-10-16. p. 10. Retrieved 2014-12-15. Wildcard certificates are not allowed for EV Certificates.
  11. ^ "Where can I buy a Wildcard EV SSL Certificate?". Comodo SSL Resources. 2018-04-20. Retrieved 2021-02-22. Put simply, there is no EV Wildcard product...{{cite web}}: CS1 maint :url-status (링크)
  12. ^ "OID repository - 1.3.6.1.4.1.311.60.2.1.3 = {iso(1) identified-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 jurisdictionOfIncorporationCountryName(3)}". oid-info.com. Retrieved 2019-07-31.
  13. ^ "OID repository - 1.3.6.1.4.1.311.60.2.1.2 = {iso(1) identified-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 jurisdictionOfIncorporationStateOrProvinceName(2)}". oid-info.com. Retrieved 2019-07-31.
  14. ^ "OID repository - 1.3.6.1.4.1.311.60.2.1.1 = {iso(1) identified-organization(3) dod(6) internet(1) private(4) enterprise(1) 311 ev(60) 2 1 jurisdictionOfIncorporationLocalityName(1)}". oid-info.com. Retrieved 2019-07-31.
  15. ^ "OID repository - 2.5.4.15 = {joint-iso-itu-t(2) ds(5) attributeType(4) businessCategory(15)}". oid-info.com. Retrieved 2019-07-31.
  16. ^ "OID repository - 2.5.4.5 = {joint-iso-itu-t(2) ds(5) attributeType(4) serialNumber(5)}". oid-info.com. Retrieved 2019-07-31.
  17. ^ Wilson, Ben. "EV Certificate Contents". CAB Forum. Retrieved 2019-07-31.
  18. ^ "cert/ev_root_ca_metadata.cc - chromium/src/net - Git at Google". chromium.googlesource.com. Retrieved 2019-08-01.
  19. ^ Goodin, Dan (2017-12-12). "Nope, this isn't the HTTPS-validated Stripe website you think it is". Ars Technica. Retrieved 2018-12-19.
  20. ^ Evers, Joris (February 2, 2007). "IE 7 gives secure Web sites the green light". CNet. Retrieved 2010-02-27. The colored address bar, a new weapon in the fight against phishing scams, is meant as a sign that a site can be trusted, giving Web surfers the green light to carry out transactions there.
  21. ^ a b Richmond, Riva (December 19, 2006). "Software to Spot 'Phishers' Irks Small Concerns". The Wall Street Journal. Archived from the original on April 15, 2008. Retrieved 2010-02-27.
  22. ^ www.cabforum.org (PDF) https://web.archive.org/web/20120229051108/https://www.cabforum.org/Guidelines_v1_2.pdf. Archived from the original (PDF) on February 29, 2012. {{cite web}}:누락 또는 비어 있음 title=(도움말)
  23. ^ Jackson, Collin; Daniel R. Simon; Desney S. Tan; Adam Barth. "An Evaluation of Extended Validation and Picture-in-Picture Phishing Attacks" (PDF). Usable Security 2007.
  24. ^ "Common Questions About Extended Validation EV SSL". DigiCert, Inc. Retrieved 15 May 2013.
  25. ^ Gutmann, Peter (2014). Engineering Security (PDF). p. 73. Retrieved 13 March 2015.

외부 링크