Открыть сервис

Сертификат с расширенной проверкой

Сертификат с расширенной проверкой (англ. Extended Validation Certificate, EV-сертификат) — это тип цифрового сертификата X.509, используемого в протоколах TLS/SSL для аутентификации владельца веб-сайта и шифрования передаваемых данных. Отличается от других типов сертификатов (Domain Validation и Organization Validation) наиболее строгой процедурой проверки юридического статуса, физического местоположения и права собственности на домен заявителя. При успешной проверке в адресной строке браузера (наряду с зелёным замком) отображается название организации, выпустившей сертификат, что призвано повысить доверие пользователей к сайту.

История

Концепция сертификатов с расширенной проверкой была разработана в середине 2000-х годов как ответ на рост числа фишинговых атак и мошеннических сайтов. К тому моменту существовали только сертификаты с проверкой домена (DV), которые не требовали подтверждения личности владельца, и сертификаты с проверкой организации (OV), где проверка была поверхностной. Пользователи не могли визуально отличить легитимный сайт крупного банка от поддельного, имеющего такой же значок замка.

Для решения этой проблемы в 2007 году был принят стандарт Guidelines for Extended Validation Certificates (Руководства по сертификатам с расширенной проверкой), разработанный консорциумом CA/Browser Forum — объединением центров сертификации (CA) и разработчиков браузеров. Стандарт определил единые требования к процедуре верификации, которым должны следовать все CA, выпускающие EV-сертификаты. Первым крупным браузером, внедрившим отображение EV-индикации (зелёная строка с названием организации), стала в 2007 году Opera, затем — Internet Explorer 7, Firefox 3 и Safari.

На протяжении 2010-х годов EV-сертификаты активно использовались крупными финансовыми учреждениями, интернет-магазинами и государственными порталами. Однако с конца 2010-х годов их роль начала снижаться. В 2018 году Google объявила, что в браузере Chrome начиная с версии 77 (2019) зелёная индикация EV будет постепенно заменена на стандартный значок замка, хотя сам сертификат останется действительным. В 2023 году Mozilla также объявила о планах по упрощению отображения EV-сертификатов в Firefox, аргументируя это тем, что пользователи не обращают внимания на зелёную строку, а мошенники научились её имитировать.

Классификация и типы

Сертификаты TLS/SSL делятся на три основных типа по уровню проверки:

  1. Domain Validation (DV) — проверяется только право управления доменом (например, через размещение TXT-записи в DNS или ответ на письмо на admin@домен). Выдаётся автоматически в течение нескольких минут. Не содержит данных об организации.
  2. Organization Validation (OV) — проверяется существование организации (через выписку из ЕГРЮЛ или аналогичный реестр) и её право на домен. Выдаётся в течение 1–3 дней. В сертификате указывается название организации.
  3. Extended Validation (EV) — самая строгая проверка. Включает верификацию юридического статуса, физического адреса, номера телефона, а также подтверждение полномочий лица, запрашивающего сертификат. Выдаётся в течение 3–10 дней. В сертификате указывается полное юридическое наименование и страна.

Процедура получения EV-сертификата

Процесс получения EV-сертификата регламентирован документом EV Guidelines (версия 1.8.0 и выше). Он включает следующие обязательные этапы:

  1. Проверка юридического статуса. Центр сертификации (CA) запрашивает у заявителя выписку из государственного реестра юридических лиц (например, ЕГРЮЛ в России или Companies House в Великобритании). CA проверяет, что организация зарегистрирована и не находится в стадии ликвидации или банкротства.
  2. Проверка физического местоположения. CA подтверждает фактический адрес организации через независимые источники (например, выписку, банковские документы, договор аренды). Адрес, указанный в сертификате, должен совпадать с адресом в реестре.
  3. Проверка права на домен. CA убеждается, что организация имеет право использовать запрашиваемое доменное имя. Это может быть сделано через WHOIS-запись, DNS-запись или письмо на авторизованный адрес.
  4. Проверка полномочий заявителя. Лицо, подающее заявку (обычно сотрудник организации), должно подтвердить свои полномочия. CA может запросить нотариально заверенную доверенность или провести телефонное интервью с руководителем организации.
  5. Проверка номера телефона. CA звонит по официальному номеру организации (из реестра или из независимого справочника) и подтверждает, что заявка на сертификат подана уполномоченным лицом.

Весь процесс документируется, и CA обязан хранить записи о проверке в течение нескольких лет. В случае ошибки или мошенничества CA несёт ответственность (вплоть до отзыва сертификата и исключения из доверенного списка браузеров).

Отображение в браузерах

До 2019 года EV-сертификаты отображались в адресной строке браузера в виде зелёного замка и названия организации (например, «Банк ВТБ (ПАО) [RU]»). После выхода Chrome 77 (2019) зелёная индикация была убрана, и EV-сертификат стал отображаться так же, как и OV-сертификат — серый замок. Однако при клике на замок в информационной панели браузера можно увидеть полное название организации, что отличает EV от DV.

В Firefox с версии 70 (2019) зелёная строка также была заменена на стандартную, но при нажатии на замок отображается дополнительная информация. В Safari на iOS и macOS EV-индикация (зелёная строка) сохранялась дольше, но в последних версиях (с 2022 года) также была упрощена.

Преимущества и недостатки

Преимущества

  • Максимальная аутентификация. EV-сертификат гарантирует, что сайт принадлежит реально существующей организации, прошедшей юридическую проверку. Это снижает риск фишинга, так как мошенники не могут получить EV-сертификат на подставную компанию.
  • Доверие пользователей. Для консервативных пользователей и корпоративных клиентов наличие EV-сертификата может быть дополнительным фактором доверия, особенно при вводе платёжных данных.
  • SEO-преимущества. Некоторые исследования (например, от Moz) показывали, что сайты с EV-сертификатами могут иметь незначительное преимущество в ранжировании, хотя Google официально отрицает это.

Недостатки

  • Высокая стоимость. EV-сертификаты стоят в 5–10 раз дороже DV-сертификатов (от 100 до 500 долларов в год в зависимости от CA).
  • Длительный процесс получения. Верификация занимает от 3 до 10 дней, что неприемлемо для стартапов или временных проектов.
  • Снижение визуального отличия. После изменений в браузерах пользователи перестали видеть зелёную строку, что нивелирует главное преимущество EV.
  • Необходимость ежегодного продления. Процедура верификации повторяется при каждом продлении, что требует постоянного документооборота.

Применение

EV-сертификаты традиционно используются на сайтах, где требуется высокий уровень доверия и защиты от фишинга:

  • Финансовые учреждения: интернет-банки, платёжные системы (например, Сбербанк, ВТБ, PayPal).
  • Государственные порталы: сайты госуслуг, налоговых служб, судебных органов (например, «Госуслуги», nalog.ru).
  • Крупные интернет-магазины и маркетплейсы: Ozon, Wildberries, Яндекс.Маркет.
  • Медицинские и страховые компании: сайты для записи к врачам, оформления полисов.

В России EV-сертификаты выпускаются аккредитованными удостоверяющими центрами (например, «Контур», «СКБ Контур», «Такском»), которые прошли аудит на соответствие требованиям EV Guidelines.

Критика и перспективы

Основная критика EV-сертификатов связана с тем, что их эффективность в борьбе с фишингом оказалась ниже ожидаемой. Исследования (например, от Google и университета Карнеги-Меллон) показали, что большинство пользователей не обращают внимания на зелёную строку, а мошенники научились создавать поддельные сайты с похожим дизайном. Кроме того, процедура верификации не защищает от компрометации самого сертификата (например, при утечке закрытого ключа).

В 2023–2024 годах CA/Browser Forum рассматривает возможность упрощения или отмены EV-сертификатов как отдельного класса, предлагая интегрировать их в OV-сертификаты с дополнительной информацией в панели браузера. Некоторые эксперты считают, что будущее за сертификатами с автоматической проверкой (DV) в сочетании с технологиями типа Certificate Transparency и DNSSEC, которые обеспечивают прозрачность и целостность без ручной верификации.

Несмотря на это, EV-сертификаты продолжают выпускаться и использоваться, особенно в регулируемых отраслях, где требуется документальное подтверждение аутентификации (например, для соответствия требованиям PCI DSS или 152-ФЗ «О персональных данных»).

Источники

  • CA/Browser Forum. «Guidelines for Extended Validation Certificates», версия 1.8.0.
  • Google Security Blog. «Chrome 77: EV Certificate Display Changes», 2019.
  • Mozilla Security Blog. «Firefox EV Certificate Display Update», 2023.
  • Национальный стандарт РФ ГОСТ Р 58293-2018 «Информационная технология. Методы и средства обеспечения безопасности. Сертификаты открытых ключей».
  • Исследование: «Extended Validation Certificates: A User Study» (Carnegie Mellon University, 2017).
  • Документация удостоверяющего центра «Контур»: «Порядок выпуска EV-сертификатов».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →