Certificato EV SSL – Un certificato utilizzato per configurare il supporto HTTPS su un sito.
Per ottenere un certificato EV, è necessario confermare l’esistenza dell’azienda a nome della quale il certificato è rilasciato in un centro di certificazione. I browser mostrano informazioni sull’esistenza dell’azienda sia davanti al nome del dominio del sito.
I certificati EV utilizzano gli stessi metodi di sicurezza dei certificati DV e OV: un livello di protezione più elevato è fornito dalla necessità di confermare l’esistenza di una società in un’autorità di certificazione.
I criteri per il rilascio dei certificati EV sono definiti da un documento speciale: Linee guida per la validazione estesa, attualmente (dal 1° agosto 2019) la versione di questo documento è la 1.7.0. Il manuale è stato sviluppato da CA / Browser Forum, un’organizzazione i cui membri sono autorità di certificazione e fornitori di software Internet, nonché rappresentanti delle professioni legali e di audit.
La motivazione per ottenere un certificato
Un’importante motivazione per l’utilizzo di certificati digitali con SSL / TLS è quella di aumentare la fiducia nelle transazioni online. Questo richiede che gli operatori del sito web siano testati per ottenere un certificato. Tuttavia, la pressione commerciale ha spinto alcune autorità di certificazione a introdurre certificati di livello inferiore (convalida del dominio). I certificati di convalida dei domini esistevano già prima della convalida estesa e, di norma, per ottenerli è necessaria solo una certa conferma del controllo del dominio. In particolare, i certificati di convalida dei domini non affermano che questa entità giuridica abbia alcuna relazione con il dominio, anche se sul sito può essere scritto che appartiene ad un’entità giuridica.
All’inizio, le interfacce utente della maggior parte dei browser non distinguevano tra certificati di convalida del dominio e certificati di convalida estesa. Poiché qualsiasi connessione SSL / TLS di successo ha portato alla creazione di un’icona verde di blocco nella maggior parte dei browser, era improbabile che gli utenti sapessero se il sito di convalida estesa fosse confermato o meno (a gennaio 2019, Chrome ha rimosso le icone verdi nel browser). Di conseguenza, i truffatori (compresi quelli coinvolti nel phishing) hanno potuto utilizzare TLS per aumentare la credibilità dei loro siti web. Gli utenti dei browser successivi possono sempre verificare l’identità dei proprietari dei certificati esaminando le informazioni sul certificato emesso che vi sono indicate (compreso il nome dell’organizzazione e il suo indirizzo).
I certificati EV sono controllati per verificare la conformità sia ai requisiti di base che ai requisiti avanzati. Sono richieste la verifica manuale dei nomi di dominio richiesti dal richiedente, la verifica da parte di fonti governative ufficiali, la verifica da parte di fonti di informazione indipendenti e le telefonate all’azienda. Se il certificato è stato rilasciato, il numero di serie dell’azienda registrato dall’autorità di certificazione, così come l’indirizzo fisico, sono memorizzati in esso.
I certificati EV sono progettati per aumentare la fiducia degli utenti nel fatto che l’operatore del sito web è un’organizzazione realmente esistente. Tuttavia, si teme ancora che la stessa mancanza di responsabilità che ha portato alla perdita di fiducia del pubblico nei certificati DV porti alla perdita di valore dei certificati EV.
Criteri di consegna
Solo le autorità di certificazione che hanno superato un audit indipendente qualificato possono offrire certificati EV, e tutti i centri devono seguire i requisiti di rilascio, che sono mirati:
- Stabilire l’esistenza di una persona giuridica e del proprietario del sito;
- stabilire il fatto che una persona giuridica è proprietaria di questo dominio;
- Confermare l’identità del proprietario del sito e l’autorità delle persone che agiscono per conto del proprietario del sito.
Ad eccezione dei certificati EV per i domini .onion, non è possibile ottenere un certificato jolly con Extended Validation – tutti i nomi a dominio pienamente qualificati devono invece essere inclusi nel certificato e verificati da un’autorità di certificazione.
Interfaccia utente
I browser abilitati per l’EV mostrano la disponibilità del certificato – di solito una combinazione del nome dell’organizzazione e la posizione dell’organizzazione. I browser Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera e Google Chrome supportano EV.
Le regole di verifica estese richiedono alle autorità di certificazione partecipanti di assegnare uno specifico identificatore di EV dopo che l’autorità di certificazione ha completato un audit indipendente e altri criteri sono stati soddisfatti. I browser ricordano questo identificatore, fanno corrispondere l’identificatore EV nel certificato con quello del browser per l’autorità di certificazione in questione: se corrispondono, il certificato è riconosciuto valido. In molti browser, un certificato EV viene segnalato da:
- Il nome dell’azienda o dell’organizzazione a cui appartiene il certificato.
- Un colore distintivo, solitamente verde, visualizzato nella barra degli indirizzi, che indica che il certificato è stato ricevuto come HTTPS.
- Anche il simbolo “lock” è presente nella barra degli indirizzi. Cliccando sul “lucchetto”, è possibile ottenere maggiori informazioni sul certificato, compreso il nome dell’autorità di certificazione che ha rilasciato il certificato EV.
Aggiornamento 29.09.2019!
La versione 77 di Google Chrome è ora rilasciata per utenti Windows, Linux, macOS, ChromeOS, IOS e Android. La nuova release ha rimosso l’indicatore UI per i certificati di Extended Validation (EV) dalla barra degli indirizzi del browser, è anche conosciuta come “Green Address Bar”.