Extended Validation
Extended Validation (EV, расширенная проверка) — это стандарт проверки подлинности юридического лица, применяемый при выпуске SSL/TLS-сертификатов. Сертификаты с расширенной проверкой (EV SSL-сертификаты) подтверждают не только принадлежность домена владельцу, но и юридическую состоятельность организации, прошедшей строгую процедуру верификации. В отличие от сертификатов с проверкой домена (DV) и проверкой организации (OV), EV-сертификаты обеспечивают наивысший уровень доверия к владельцу сайта, что визуально отображается в браузере (например, зелёная строка адреса или название организации рядом с замком).
История
Стандарт Extended Validation был разработан в середине 2000-х годов как ответ на рост числа фишинговых атак и мошеннических сайтов, которые использовали SSL-сертификаты для создания видимости безопасности. К 2005 году стало очевидно, что существующие методы проверки (DV и OV) не гарантируют, что владелец сертификата действительно является законной организацией, а не злоумышленником, зарегистрировавшим домен на подставное лицо.
В 2007 году был опубликован документ «Guidelines for Extended Validation Certificates» (EV Guidelines), разработанный CA/Browser Forum (Форумом удостоверяющих центров и разработчиков браузеров) — международной организацией, объединяющей центры сертификации, производителей браузеров и других участников рынка. Эти правила стали обязательными для всех удостоверяющих центров (УЦ), выпускающих EV-сертификаты. Первыми браузерами, поддержавшими EV-индикацию, стали Internet Explorer 7 (2006 год) и Firefox 3 (2008 год).
В 2010-х годах EV-сертификаты получили широкое распространение среди банков, платёжных систем, интернет-магазинов и государственных порталов. Однако с конца 2010-х годов их популярность начала снижаться: многие браузеры (например, Google Chrome и Safari) перестали показывать зелёную строку адреса, оставив лишь значок замка и название организации в строке состояния. В 2023 году CA/Browser Forum внёс изменения, упростившие некоторые требования, но общий принцип строгой проверки сохранился.
Процедура верификации
Для получения EV-сертификата организация должна пройти многоэтапную проверку, которая включает:
- Подтверждение юридического статуса: УЦ проверяет регистрацию организации в государственных реестрах (например, ЕГРЮЛ в России, Companies House в Великобритании). Требуется предоставить учредительные документы, свидетельства о регистрации, лицензии (если применимо).
- Подтверждение физического адреса: УЦ связывается с организацией по телефону, отправляет письма на зарегистрированный адрес, проверяет его через открытые базы данных. Адрес должен совпадать с тем, что указан в учредительных документах.
- Подтверждение полномочий заявителя: Лицо, подающее заявку, должно быть уполномочено действовать от имени организации (например, директор, главный бухгалтер или сотрудник с доверенностью). УЦ может запросить нотариально заверенные документы.
- Проверка домена: УЦ подтверждает, что заявитель контролирует домен (через DNS-запись, email на админский адрес или HTTP-файл). Для EV-сертификатов эта проверка проводится строже, чем для DV.
- Проверка на мошенничество: УЦ проверяет организацию по базам данных недобросовестных поставщиков, спискам санкций, а также может запросить выписку из реестра дисквалифицированных лиц.
Весь процесс занимает от нескольких дней до нескольких недель. УЦ обязан хранить документы, подтверждающие проверку, в течение всего срока действия сертификата.
Отличия от DV и OV
| Тип сертификата | Проверка домена | Проверка организации | Визуальная индикация в браузере | Стоимость (ориентировочно) |
|---|---|---|---|---|
| DV (Domain Validation) | Да (автоматическая) | Нет | Только значок замка | 500–3000 руб/год |
| OV (Organization Validation) | Да | Да (базовая) | Замок + название организации (не во всех браузерах) | 3000–10 000 руб/год |
| EV (Extended Validation) | Да (строгая) | Да (расширенная) | Замок + название организации (в некоторых браузерах — зелёная строка) | 10 000–50 000 руб/год |
Применение
EV-сертификаты традиционно используются в сферах, где критически важна идентификация юридического лица:
- Финансовый сектор: интернет-банки, платёжные шлюзы, биржи, инвестиционные платформы.
- Электронная коммерция: крупные интернет-магазины, маркетплейсы, сервисы подписок.
- Государственные и муниципальные порталы: сайты госуслуг, налоговых служб, судов, пенсионных фондов.
- Медицина и здравоохранение: порталы для записи к врачам, телемедицинские сервисы.
- Образование: онлайн-школы, университетские порталы, системы дистанционного обучения.
В России EV-сертификаты выпускаются удостоверяющими центрами, аккредитованными Минцифры (например, «Аккредитованный УЦ «Инфотекс», «УЦ «Сбербанк»), а также международными УЦ (DigiCert, GlobalSign, Sectigo), которые работают в соответствии с российским законодательством.
Критика и ограничения
Основные претензии к EV-сертификатам:
- Высокая стоимость: по сравнению с DV-сертификатами, которые можно получить за несколько минут и за символическую плату, EV-сертификаты дороги и требуют значительных временных затрат.
- Снижение визуальной значимости: с 2018 года Google Chrome, Safari и Firefox перестали показывать зелёную строку адреса, что сделало EV-индикацию менее заметной. Пользователи часто не обращают внимания на название организации в строке состояния.
- Неэффективность против фишинга: злоумышленники могут зарегистрировать организацию с похожим названием (например, «Go0gle Inc.») и получить EV-сертификат, если УЦ не проверит домен на сходство с известными брендами. В 2019 году был зафиксирован случай, когда EV-сертификат был выдан для фишингового сайта, имитирующего PayPal.
- Бюрократическая сложность: для малых и средних предприятий процедура верификации может быть непосильной из-за необходимости предоставления нотариально заверенных документов и длительного ожидания.
Тенденции
С 2020-х годов наблюдается постепенный отказ от EV-сертификатов в пользу более простых и дешёвых решений. Многие крупные компании (например, Amazon, Google) перешли на DV-сертификаты для своих основных доменов, полагаясь на другие механизмы безопасности (HSTS, Certificate Transparency, многофакторную аутентификацию). В то же время EV-сертификаты остаются востребованными в регулируемых отраслях (финансы, госсектор), где требуется документальное подтверждение юридического статуса.
В России в 2022–2023 годах, после введения требований об использовании сертификатов Национального удостоверяющего центра (НУЦ) для государственных информационных систем, EV-сертификаты стали обязательными для ряда порталов (например, «Госуслуги», «Мои документы»). При этом международные УЦ, выпускающие EV-сертификаты для российских организаций, столкнулись с ограничениями из-за санкций.
Источники
- CA/Browser Forum. «Guidelines for Extended Validation Certificates» (версия 1.8.2, 2023).
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (с изменениями).
- Приказ Минцифры России от 30.06.2021 № 500 «Об утверждении Порядка аккредитации удостоверяющих центров».
- «Extended Validation SSL: What It Is and Why It Matters» — DigiCert, 2022.
- «The Decline of EV SSL» — The SSL Store, 2023.
- «EV SSL Certificates: A Complete Guide» — GlobalSign, 2021.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →