跳至內容

擴充驗證憑證

出自Taiwan Tongues 台語維基
這是此頁批准,以及是最近的修訂。

擴充驗證憑證(Extended Validation Certificate,簡稱「EV 憑證」)是一種根據一系列特定標準頒發的 X . 五百空九電子憑證。根據要求,佇頒發憑證進前,憑證發行機構 ( CA ) 必須愛驗證申請者的身份。無仝機構根據憑證標準發行的擴充驗證憑證並無傷大差異,但是有的時陣根據一寡具體的要求,特定機構發行的憑證會使予特定的軟體所辨識。

《 擴充驗證憑證指南》予人認為是擴充驗證憑證的發行標準,其制定者是 CA / 瀏覽器論壇—— 一个由憑證發行機構佮網路軟體開發者組成的非營利機構,此外,一寡法律佮審計方面的專業人士也參與其中。

歷史

二空空五年,米勒夫 ・ 阿杜勒哈尤格魯(Melih Abdulhayoğlu)召開了頭一屆憑證發行機構 / 瀏覽器論壇會議以期提升 SSL 憑證的發行標準。二空空七年六月十二號,該機構正式批准頭一个擴充驗證憑證指南並隨生效,最近兩冬的努力建立了網站身份認證制度的架構。二空空八年四月,該機構發佈矣《擴充驗證憑證指南》一孵一版,該版本借鑑矣憑證發行機構佮網路軟體開發者佇頭一个指南發行閣啟用了後所積累的一寡實際的經驗。

動機

佇咧 SSL 連接中使用數位憑證的一个重要動機是通過憑證發行機構對網站持有者的身分稽核並頒發憑證自按呢使連接受著信任。但是迫於商業競爭所帶來的壓力,一寡憑證發行機構推出了干焦驗證域名所有權(毋是域名持有的身份)的憑證,佇頒發這種憑證進前,憑證發行機構只進行了真少的認證工作並佇咧憑證中包含的認證資訊嘛真少。

大多數的瀏覽器的介面並袂真明顯的標識出只經過簡單認證的憑證佮經過嚴格認證的憑證的區別,任何予驗證成功的憑證攏會使瀏覽器顯示出一个鎖形圖示。所以,使用者真僫知影𪜶彼个所在取的網站敢是已經過嚴格的認證。結果,一寡詐騙網站佮釣魚網站嘛開始使用 SSL 憑證以騙取受害者的信任。通過建立閣較嚴格的簽發標準並且要求所有成員機構繼續打援,擴充驗證憑證予寄希望恢復使用者對網站持有者合法性的信心。

此外,因為按呢無證問責制度欠缺啊若予公信力欠失的狀況也受著關注,這也欲來擴充驗證憑證的價值受損。

簽發標準

干焦通過獨立的網路信任稽核的憑證發行機構才會當頒發擴充驗證憑證,全球範圍內底的憑證發行機構攏愛遵循仝款詳細的簽發要求通好親像:

  • 確認網站佮其實所有者的合法性;
  • 確認申請者是對應網站的域名持有人並且會當獨立地控制該號名;
  • 確認網站持有者的身分並且審查由具有相應權限的政府官員簽發的有關其法律義務的檔案。

另外咧,擴充驗證憑證中袂使包含萬用字箍。

使用者介面

《 擴充驗證憑證》要求若是憑證發行機構通過獨立的審計佮其他一寡步驟,憑證發行機構就愛對擴充驗證憑證的分配獨立的被瀏覽器開發者承認的憑證驗證人。

歷史上瀏覽器佇咧工作的時陣共匹配 SSL 憑證佮憑證發行者,若有成功,SSL 憑證欲佇使用者介面中得著閣較明顯的顯示並且包括如下內容:

  • 憑證持有者的公司抑是其他實體的名稱;
  • 憑證發行機構的名稱;

此外,當時大多數的瀏覽器煞會閣佇網址列中顯示一種獨特的色水(通常為綠色)以表示已經收著一个擴充驗證憑證。

對 Firefox 七十以及 Google Chrome 七十七開始,擴充驗證憑證資訊被預設隱藏,需要額外點擊才會當顯示

相容性

桌面瀏覽器

大多數擴充驗證憑證會使予落列瀏覽器所相容:

  • Safari 三孵二佮以上的
  • Internet Explorer 七及以上
  • Microsoft Edge 十二佮以上
  • Firefox 三更零及以上
  • Opera 九嬸五佮以上的
  • Google Chrome 一鋪零佮以上

技術細節

擴充驗證憑證是標準的 X . 五百空九數位憑證。鑑定擴充驗證憑證的基本方法是參考憑證規則的擴充域。逐个憑證簽發者會佇𪜶簽發的憑證的域中囥入一个獨特的物件識別碼,每一个物件識別碼包括了發行者的認證聲明。瀏覽器可能袂當看出所有的憑證發行機構。

線頂憑證狀態協定

擴充驗證憑證的簽發標準並無要求發行機構隨支援線上憑證狀態協定的憑證吊銷檢查。猶毋過,及時的由瀏覽器做的吊銷檢查已經驅使大多數的發行機構支援這項檢查以提升對線上憑證的狀態協定的支援。簽發標準中的第二十六 A 章節已經要求所有發行者自二空一一年一月初一起對所有憑證支援這个項協定。

爭議

著小企業的可用性

自從擴充驗證憑證被報導做一種可信任網站的標誌,一寡小企業主已經開始對其予大企業愈來愈濟的好處表示代表示代表。已經出版的《擴充驗證憑證指南》一鋪二版的草稿已經除去了非法人商業實體,這是引起一寡媒體的關注。《擴充驗證憑證指南》一鼻空版予人修訂通好包括已經註冊並且予人承認的的非法人機構,這極大地擴充了有資格有擴充驗證憑證的機構的數量。

敢會當有效阻止釣魚網站

二空空六年,史丹福大學佮微軟研究院進行矣一項針對佇咧 IE 七中擴充驗證憑證的可用性的研究,該測試會出結論「未經過瀏覽器安全功能訓練的使用者並袂注意著介面中的擴充驗證憑證提示而且無法度超越對照組」。 此外,「 讀過 IE 幫助檔案的人更加可能共真的抑是假的網站攏認為是合法的」。

參見

  • 超文字傳輸安全協定 ( HTTPS )
  • HTTP 嚴格傳輸安全 ( HSTS )
  • 傳輸層安全 ( TLS )
  • 數位憑證認證的機構 ( CA )

參考資料

取自「https://wiki.taigi.ima.org.tw/w/index.php?title=擴充驗證憑證&oldid=390794