EV證書伴隨著IE7等新瀏覽器的普及,而開始逐步被大家所接受,EV證書區別於傳統的SSL證書主要有2個方面:
1、在證書的認證過程中,引入了第三方機構共同認證。
傳統的SSL證書,在多年的商業競爭後,各家CA為了推廣產品搶奪市場,紛紛簡便了客戶認證流程,開發出了域名驗證型證書,由於這種證書只需要提供電子信箱驗證,就給了很多釣魚網站以可乘之機。譬如www.Icbc.com他們的英文名稱非常類似於www.icbc.com,有人就可以利用1cbc.com來冒充icbc.com的網站和證書。另一方面,由於SSL證書產品市場的細分,域名型證書對中小企業提供安裝的加密通道等方面非常重要,而且這種證書的價格只有普通證書的20%。
那么如何既保證中小企業也可以使用SSL協定,實現安全數據通信,有可以保證重要的網站身份不會被惡意盜用?Microsoft、Opere、Mozila和Verisign共同開發了EV證書標準。
EV證書和傳統SSL證書在認證上的最大區別,就在於,EV證書不再是完全有CA中心來認證的一個證書,除了CA中心以外,必須由一家第三方的審計機構,對CA要簽發的證書資料進行審計和核實,以確保證書資料的完整性和真實性,以及該證書不會存在被惡意利用的可能性。
同時EV證書要求每次簽發證書不能超過2年,也就是說每過2年,一定要重新審核網站公司的身份和資料,以避免多年證書幾年後出現域名變更,被人盜用等情況。
同時EV證書的出現,也使得傳統的域名性證書得以繼續保留和使用,用戶可以根據網站的重要性來判斷網站是否需要安裝EV證書,或者僅僅是普通的經濟型的證書
2、使用EV證書的網址在新版本瀏覽器中會呈現出綠色
在IE7、Opera 9.5、Firefox 3等以上版本的瀏覽器中,安裝EV證書的網址會在地址欄出現綠色,而且在地址欄後面的狀態信息中會交替出現綠色的公司名稱和CA機構名稱信息,如下圖:
如果傳統的SSL證書要獲取該證書的組織名稱,必須打開證書,訪問證書的所有者信息,在DN-O欄位中才可以讀到該信息。而大多數的網站用戶,都不具備這種技能和知識,所以他們往往無法知道域名驗證型證書和組織驗證型證書的區別。而EV證書採用最直觀的方式,讓用戶立刻知道該證書屬於什麼公司,而且顏色的區分是最明顯的,使大家可以立刻知道哪些網站是足夠安全的。
EV證書的技術特點和安裝方法
為了使EV證書能夠在瀏覽器中顯示出綠色,所有的EV證書都採用新的EV ROOT根證書簽發,在IE7等新瀏覽器里,都預埋了這個新的證書,針對IE6等瀏覽器,如果定期安裝補丁包,也可以通過證書補丁升級程式,升級該根證書。可是對一些IE5等舊瀏覽器和手機瀏覽器不支持EV證書,沒有EV根證書的瀏覽器怎么辦呢?通過觀察,我們發現同一個網站的EV證書在IE5和IE7下,呈現出兩種證書鏈結構,以https://www.myssl.cn舉例:
在IE7下看到的是:
GeoTrust
---GeoTrust Extended Validation SSL CA
---www.myssl.cn
*:這裡的頂級根證書Geotrust的CN為:GeoTrust Primary Certification Authority,Geotrust只是這個證書的nickname)
而在IE5下看到的是:
Equifax Secure Certificate Authority
---GeoTrust Primary Certification Authority
---GeoTrust Extend Validation SSL CA
---www.myssl.cn
其中IE7觀察到的GeoTrust這個根證書是IE7以後,植入瀏覽器信任域證書列表的,Equifaxt Secure Certificater Authority則是自IE5以後,就在瀏覽器中預埋的根證書,其實這個GeoTrust的根證書的CN就是“GeoTrust Primary Certification Authority”,也就是說在IE5看到的證書鏈就是比在IE7看到的多了一個頂級根“Equifax Secure Certificate Authority”。
我們首先觀察兩個證書鏈中的“www.myssl.cn”證書:
IE7下的“www.myssl.cn”證書的SHA1值為:“d0 31 01 a2 7c aa 56 60 fa 7f 0e ae 3a 37 36 60 ea be f3 58”
IE5下的“www.myssl.cn”證書的SHA1值為:“d0 31 01 a2 7c aa 56 60 fa 7f 0e ae 3a 37 36 60 ea be f3 58”
兩者完全一致。
觀察兩個證書鏈下的“GeoTrust Extend Validation SSL CA”:
IE7下的“GeoTrust Extend Validation SSL CA”證書的SHA1值為:“ca 6a 71 d6 e0 c7 19 61 31 fe 7f 38 90 30 11 19 4d 23 d8 c4”
IE5下的“GeoTrust Extend Validation SSL CA”證書的SHA1值為:“ca 6a 71 d6 e0 c7 19 61 31 fe 7f 38 90 30 11 19 4d 23 d8 c4”
兩者也完全一致。
繼續觀察兩個證書鏈下的“GeoTrust Primary Certification Authority”:
IE7下的“GeoTrust Primary Certification Authority”證書的SHA1值為:“d0 31 01 a2 7c aa 56 60 fa 7f 0e ae 3a 37 36 60 ea be f3 58”
IE5下的“GeoTrust Primary Certification Authority”證書的SHA1值為:“15 b4 39 a0 9a 2b 84 6e d2 1e 84 f4 42 24 cf b8 7a 65 99 c9”
所以這兩個證書的SHA1值是不同,而且我們已經知道了這2個證書的簽發者本身就是不同,一個是自簽名名證書,一個是由“Equifax Secure Certificate Authority”簽發出來的二級證書,但是為什麼有2張完全不同不同的證書籤發出的“GeoTrust Extend Validation SSL CA”居然是完全一致的呢?
我們再觀察這兩個證書的公鑰,發現都是:
30 82 01 0a 02 82 01 01 00 be b8 15 7b ff d4 7c 7d 67 ad 83 64 7b c8 42 53 2d df f6 84 08 20 61 d6 01 59 6a 9c 44 11 af ef 76 fd 95 7e ce 61 30 bb 7a 83 5f 02 bd 01 66 ca ee 15 8d 6f a1 30 9c bd a1 85 9e 94 3a f3 56 88 00 31 cf d8 ee 6a 96 02 d9 ed 03 8c fb 75 6d e7 ea b8 55 16 05 16 9a f4 e0 5e b1 88 c0 64 85 5c 15 4d 88 c7 b7 ba e0 75 e9 ad 05 3d 9d c7 89 48 e0 bb 28 c8 03 e1 30 93 64 5e 52 c0 59 70 22 35 57 88 8a f1 95 0a 83 d7 bc 31 73 01 34 ed ef 46 71 e0 6b 02 a8 35 72 6b 97 9b 66 e0 cb 1c 79 5f d8 1a 04 68 1e 47 02 e6 9d 60 e2 36 97 01 df ce 35 92 df be 67 c7 6d 77 59 3b 8f 9d d6 90 15 94 bc 42 34 10 c1 39 f9 b1 27 3e 7e d6 8a 75 c5 b2 af 96 d3 a2 de 9b e4 98 be 7d e1 e9 81 ad b6 6f fc d7 0e da e0 34 b0 0d 1a 77 e7 e3 08 98 ef 58 fa 9c 84 b7 36 af c2 df ac d2 f4 10 06 70 71 35 02
既然公鑰一致,私鑰也必然一致,所以他們簽發出的“GeoTrust Extend Validation SSL CA”也是一致的,但這2個證書上籤名,則是完全不同的,一個是自簽名,一個是由“Equifax Secure Certificate Authority”簽名。
基於這種結構,EV證書就可以輕易實現對IE7地址欄變綠支持,同時對IE5等就瀏覽器的兼容支持。,/p>
當IE7訪問網站時,則伺服器首先返回一個"www.myssl.cn"的證書,如果IE7沒有“GeoTrust Extend Validation SSL CA”這箇中間證書,則伺服器再返回給瀏覽器一個“GeoTrust Extend Validation SSL CA”中間證書,這個時候,IE7,已經可以找到“GeoTrust Extend Validation SSL CA”的簽發證書“GeoTrust Primary Certification Authority”,我們知道“GeoTrust Extend Validation SSL CA”是由“GeoTrust Primary Certification Authority”簽名的,不是自簽名還是Equifax簽名的,密鑰對都是一致的,都可以實現對“GeoTrust Extend Validation SSL CA”,則瀏覽器完成了對證書的驗證,確信這是一個正式的EV證書。
如果是IE5,則伺服器首先返回一個"www.myssl.cn"的證書,如果IE5沒有“GeoTrust Extend Validation SSL CA”這箇中間證書,則伺服器再返回給瀏覽器一個“GeoTrust Extend Validation SSL CA”中間證書,瀏覽器仍然沒有“GeoTrust Primary Certification Authority”,則伺服器再傳送一個“GeoTrust Primary Certification Authority”,這個時候IE5在信任證書中找到了“GeoTrust Primary Certification Authority”的簽發者“Equifax Secure Certificate Authority”,完成了對該證書的驗證。
所以,我們下面就要來討論在伺服器上,如何安裝正確的EV證書鏈。一個EV證書,包含了伺服器證書--EV簽發證書--EV根證書(2個)--舊根證書。仍然以www.myssl.cn舉例:
“www.myssl.cn”和“GeoTrust Extend Validation SSL CA”都是必然需要的,而“GeoTrust Primary Certification Authority”有2個不同的證書:
一個是自簽名的根證書;
一個是由“Equifax Secure Certificate Authority”簽發的根證書
我們應該安裝哪一個呢?答案是必須安裝那箇中間證書“GeoTrust Primary Certification Authority”,而絕對不能安裝自簽名的根證書“GeoTrust Primary Certification Authority”,如果安裝了自簽名的根證書,則伺服器在與IE5通信的時候,就會返回這張證書,而這張證書不是IE5的可信根證書,這就會造成IE5告警。
所以在安裝EV證書的時候,一定要注意必須要正確安裝好2箇中間證書,一個是簽發伺服器證書的那個EV三級中間證書,一個是由舊根簽發的二級中間證書。尤其要注意伺服器上不要安裝新的自簽名頂級根證書,如果是Windows的伺服器,安裝了IE7瀏覽器,都會自動安裝了這批新的自簽名頂級根證書,必須要注意把他們刪除,以免造成舊瀏覽器和手機瀏覽器無法正確驗證證書
伺服器安裝的正確證書鏈應該如下:
GeoTrust Primary Certification Authority(Which signed by 'Equifax Secure Certificate Authority')
---GeoTrust Extend Validation SSL CA
---www.myssl.cn
