Открыть сервис

Extended Validation

Extended Validation (EV, расширенная проверка) — это стандарт проверки подлинности юридического лица, применяемый при выпуске SSL/TLS-сертификатов. Сертификаты с расширенной проверкой (EV SSL-сертификаты) подтверждают не только принадлежность домена владельцу, но и юридическую состоятельность организации, прошедшей строгую процедуру верификации. В отличие от сертификатов с проверкой домена (DV) и проверкой организации (OV), EV-сертификаты обеспечивают наивысший уровень доверия к владельцу сайта, что визуально отображается в браузере (например, зелёная строка адреса или название организации рядом с замком).

История

Стандарт Extended Validation был разработан в середине 2000-х годов как ответ на рост числа фишинговых атак и мошеннических сайтов, которые использовали SSL-сертификаты для создания видимости безопасности. К 2005 году стало очевидно, что существующие методы проверки (DV и OV) не гарантируют, что владелец сертификата действительно является законной организацией, а не злоумышленником, зарегистрировавшим домен на подставное лицо.

В 2007 году был опубликован документ «Guidelines for Extended Validation Certificates» (EV Guidelines), разработанный CA/Browser Forum (Форумом удостоверяющих центров и разработчиков браузеров) — международной организацией, объединяющей центры сертификации, производителей браузеров и других участников рынка. Эти правила стали обязательными для всех удостоверяющих центров (УЦ), выпускающих EV-сертификаты. Первыми браузерами, поддержавшими EV-индикацию, стали Internet Explorer 7 (2006 год) и Firefox 3 (2008 год).

В 2010-х годах EV-сертификаты получили широкое распространение среди банков, платёжных систем, интернет-магазинов и государственных порталов. Однако с конца 2010-х годов их популярность начала снижаться: многие браузеры (например, Google Chrome и Safari) перестали показывать зелёную строку адреса, оставив лишь значок замка и название организации в строке состояния. В 2023 году CA/Browser Forum внёс изменения, упростившие некоторые требования, но общий принцип строгой проверки сохранился.

Процедура верификации

Для получения EV-сертификата организация должна пройти многоэтапную проверку, которая включает:

  • Подтверждение юридического статуса: УЦ проверяет регистрацию организации в государственных реестрах (например, ЕГРЮЛ в России, Companies House в Великобритании). Требуется предоставить учредительные документы, свидетельства о регистрации, лицензии (если применимо).
  • Подтверждение физического адреса: УЦ связывается с организацией по телефону, отправляет письма на зарегистрированный адрес, проверяет его через открытые базы данных. Адрес должен совпадать с тем, что указан в учредительных документах.
  • Подтверждение полномочий заявителя: Лицо, подающее заявку, должно быть уполномочено действовать от имени организации (например, директор, главный бухгалтер или сотрудник с доверенностью). УЦ может запросить нотариально заверенные документы.
  • Проверка домена: УЦ подтверждает, что заявитель контролирует домен (через DNS-запись, email на админский адрес или HTTP-файл). Для EV-сертификатов эта проверка проводится строже, чем для DV.
  • Проверка на мошенничество: УЦ проверяет организацию по базам данных недобросовестных поставщиков, спискам санкций, а также может запросить выписку из реестра дисквалифицированных лиц.

Весь процесс занимает от нескольких дней до нескольких недель. УЦ обязан хранить документы, подтверждающие проверку, в течение всего срока действия сертификата.

Отличия от DV и OV

Тип сертификатаПроверка доменаПроверка организацииВизуальная индикация в браузереСтоимость (ориентировочно)
DV (Domain Validation)Да (автоматическая)НетТолько значок замка500–3000 руб/год
OV (Organization Validation)ДаДа (базовая)Замок + название организации (не во всех браузерах)3000–10 000 руб/год
EV (Extended Validation)Да (строгая)Да (расширенная)Замок + название организации (в некоторых браузерах — зелёная строка)10 000–50 000 руб/год

Применение

EV-сертификаты традиционно используются в сферах, где критически важна идентификация юридического лица:

  • Финансовый сектор: интернет-банки, платёжные шлюзы, биржи, инвестиционные платформы.
  • Электронная коммерция: крупные интернет-магазины, маркетплейсы, сервисы подписок.
  • Государственные и муниципальные порталы: сайты госуслуг, налоговых служб, судов, пенсионных фондов.
  • Медицина и здравоохранение: порталы для записи к врачам, телемедицинские сервисы.
  • Образование: онлайн-школы, университетские порталы, системы дистанционного обучения.

В России EV-сертификаты выпускаются удостоверяющими центрами, аккредитованными Минцифры (например, «Аккредитованный УЦ «Инфотекс», «УЦ «Сбербанк»), а также международными УЦ (DigiCert, GlobalSign, Sectigo), которые работают в соответствии с российским законодательством.

Критика и ограничения

Основные претензии к EV-сертификатам:

  • Высокая стоимость: по сравнению с DV-сертификатами, которые можно получить за несколько минут и за символическую плату, EV-сертификаты дороги и требуют значительных временных затрат.
  • Снижение визуальной значимости: с 2018 года Google Chrome, Safari и Firefox перестали показывать зелёную строку адреса, что сделало EV-индикацию менее заметной. Пользователи часто не обращают внимания на название организации в строке состояния.
  • Неэффективность против фишинга: злоумышленники могут зарегистрировать организацию с похожим названием (например, «Go0gle Inc.») и получить EV-сертификат, если УЦ не проверит домен на сходство с известными брендами. В 2019 году был зафиксирован случай, когда EV-сертификат был выдан для фишингового сайта, имитирующего PayPal.
  • Бюрократическая сложность: для малых и средних предприятий процедура верификации может быть непосильной из-за необходимости предоставления нотариально заверенных документов и длительного ожидания.

Тенденции

С 2020-х годов наблюдается постепенный отказ от EV-сертификатов в пользу более простых и дешёвых решений. Многие крупные компании (например, Amazon, Google) перешли на DV-сертификаты для своих основных доменов, полагаясь на другие механизмы безопасности (HSTS, Certificate Transparency, многофакторную аутентификацию). В то же время EV-сертификаты остаются востребованными в регулируемых отраслях (финансы, госсектор), где требуется документальное подтверждение юридического статуса.

В России в 2022–2023 годах, после введения требований об использовании сертификатов Национального удостоверяющего центра (НУЦ) для государственных информационных систем, EV-сертификаты стали обязательными для ряда порталов (например, «Госуслуги», «Мои документы»). При этом международные УЦ, выпускающие EV-сертификаты для российских организаций, столкнулись с ограничениями из-за санкций.

Источники

  • CA/Browser Forum. «Guidelines for Extended Validation Certificates» (версия 1.8.2, 2023).
  • Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (с изменениями).
  • Приказ Минцифры России от 30.06.2021 № 500 «Об утверждении Порядка аккредитации удостоверяющих центров».
  • «Extended Validation SSL: What It Is and Why It Matters» — DigiCert, 2022.
  • «The Decline of EV SSL» — The SSL Store, 2023.
  • «EV SSL Certificates: A Complete Guide» — GlobalSign, 2021.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →