Lekcija 2: Vrste SSL sertifikata

U prethodnoj lekciji govorili smo o HTTP i HTTPS protokolu i SSL sertifikatima. Naučili smo da je HTTPS kriptovan kanal komunikacije na internetu, a da su SSL sertifikati digitalni sertifikati koji omogućavaju da se uspostavi HTTPS konekcija. Osim kriptovanja podataka, SSL sertifikat ima i ulogu u autentifikaciji, odnosno utvrđivanju identiteta sajta i vlasnika sajta. 

 

U ovoj lekciji ćemo govoriti o vrstama SSL sertifikata. Naučićete šta su EV, DV i OV sertifikati, kao i šta su Wildcard i SAN SSL sertifikati.

 

Koje vrste SSL sertifikata postoje?

 

Postoji 3 vrste SSL sertifikata, koje razlikujemo prema stepenu verifikacije identiteta: 

Extended Validation (EV), Organization Validation (OV) i Domain Validation (DV).

Šta to znači?

U prvoj lekciji smo rekli da SSL sertifikati imaju dve funkcije: enkripciju i autentifikaciju. Svi stepeni verifikacije EV, OV i DV omogućavaju isti nivo enkripcije, dakle tu nema razlike, već se razlikuju po tome koliko nivoa provere identiteta su prošli i kako će se prikazivati u browseru.

Proceduru za utvrđivanje identiteta i verifikaciju propisuje CA/Browser forum i ona je standardizovana i globalno važeća.  

EV SSL je preporučena vrsta SSL sertifikata za banke, druge finansijske institucije, poznate brendove, web shopove i druge sajtove preko kojih se razmenjuju osetljive informacije. 

EV SSL sertifikati se u browseru razlikuju od drugih po zelenoj boji. Pored ikonice katanca, i naziv vlasnika sajta je ispisan u browseru. EV sertifikati su doskora izgledali identično u svim browserima: Naziv vlasnika sajta ispisan zelenom bojom u address baru ispred adrese sajta. Sad se situacija malo promenila, ali ne drastično i EV sertifikati se i dalje razlikuju od drugih. U najnovijoj verziji Google Chromea naziv vlasnika sajta više nije zelene boje, ali se vidi ispred adrese, dok je u najnovijoj verziji Safarija naziv vlasnika sajta uklonjen, ali je ikonica zelena. U Safariju je ikonica zelena samo za EV sertifikate, za druge je siva. Ako kliknete na ikonicu videćete i naziv vlasnika sajta.

Da bi dobio EV SSL, vlasnik sajta (mora da bude organizacija, ne može fizičko lice) treba da:

  •      dokaže pravo korišćenja domena, 
  •      potvrdi svoje pravno, operativno i fizičko postojanje, 
  •      dâ dozvolu  da se izda sertifikat. 

Pravo korišćenja domena dokazuje se odgovorom na email koji se šalje na adresu koja se vidi u WhoIs upitu ili na unapred određene adrese (admin@, administrator@, postmaster@, hostmaster@, webmaster@).

Da bi dokazala pravno, operativno i fizičko postojanje, organizacija mora da bude registrovana i aktivna i da ima u nekom javnom direktorijumu (kao što su www.11811.rs ili Google My Business) upisanu fizičku adresu i broj telefona.

Identitet organizacije se proverava u zvaničnim registrima (kao što je APR) i podaci koji se upisuju u sertifikat moraju da budu identični sa zvaničnim podacima.

Zaposleni koji je Organizacioni kontakt za konkretni sertifikat mora da potvrdi u telefonskom razgovoru da je organizacija zaista tražila da se izda sertifikat.

Sve informacije koje su verifikovane upisuju se u sertifikat. 

 

OV SSL sertifikati se preporučuju javnim sajtovima na kojima se ostavljaju manje osetljive informacije (npr. ime i prezime, email, telefon), ili za koje je potrebno prijavljivanje (log-in). 

Proces verifikacije za OV SSL je malo jednostavniji, proverava se pravo korišćenja domena, ali i identitet organizacije, tj. da li je organizacija koja traži sertifikat upisana u neki zvaničan registar, npr. APR. Verifikovane informacije o organizaciji se upisuju u sertifikat, ali ime vlasnika sajte se ne ispisuje u address baru u browseru, a ikonica katanca u nekim browserima nije zelena.

 

DV SSL predstavlja najjednostavniji SSL sertifikat. To je najniži nivo validacije.

Za Domain Validation SSL sertifikate proverava se samo pravo korišćenja domena. Ove sertifikate može da dobije svako ko može da dokaže da kontroliše dati domen, uključujući i fizička lica, i izdaju se jako brzo, za samo nekoliko minuta

DV potvrđuje da je domen registrovan i neko sa administrativnim pravima je upoznat i odobrava zahtev za sertifikacijomali ne garantuje da je organizacija koja zahteva sertifikat legitimna. Drugim rečima, ako biste kupili domen faceb00k.com i zatražili sertifikat, mogli biste da ga dobijete, jer ste vlasnik domena.

Zbog velikog broja phishing sajtova koji imaju SSL sertifikat, najčešće DV, vodila se polemika da li je interfejs Google Chromea, gde svi sajtovi koji koriste SSL imali oznaku Secure, pogrešan i obmanjujući. Da li iz tog razloga, ili nekog drugog, ta oznaka je u najnovijoj verziji Chromea, koja se pojavila u septembru 2018, uklonjena. Za HTTPS sajtove (one sa OV i DV SSL sertifikatima) ostao je samo sivi katanac.

Iako Chrome nije jedini browser koji ljudi koriste, njegovi potezi su važni jer drugi browseri brzo posle Chromea unesu slične izmene u svoje interfejse, tako da ono što je važilo samo za Chrome brzo postane standard za sve browsere.

 

Šta su Wildcard i SAN/UC SSL sertifikati?

SSL sertifikati obično važe za jedan domen (odnosno za jedno fully qualified domain name), ali postoje i izuzeci.

Jadan sertifikat može da važi za neograničen broj poddomena (ili hostova) koji imaju zajednički osnovni (root) domen. To su tzv. Wildcard SSL sertifikati

Evo malo boljeg objašnjenja šta znači neograničen broj poddomena istog nivoa. Uzmimo na primer da je vaš osnovni domen mojdomen.com.

Pomoću Wildcard SSL sertifikata svi poddomeni koji imaju istu osnovu, odnosno u našem primeru koji se završavaju sa .mojdomen.com, će biti zaštićeni, odnosno moći ćete da ih „pokrijete“ jednim SSL sertifikatom, na primer:

  •      www.mojdomen.com,
  •      info.mojdomen.com,
  •      mail.mojdomen.com,
  •      support.mojdomen.com.

Wildcard SSL dobijate ako u CSR kao common name upišete *. ispred vašeg domena, u našem primeru *.mojdomen.com.

 

Drugi izuzetak od pravila da SSL važi za jedan FQDN su SAN/UC SSL sertifikati.

SAN znači Subject Alternative Name, UC je Unified Communication. 

SAN/UC omogućava da jednim sertifikatom pokrijete više različitih domenskih imena, pod uslovom da su vaši, tj. da imate pravo da ih koristite.

U SAN polja možete upisati na primer mojdomen.com, mojdomen.rs, info.mojdomen.net, mojdomen.co.rs, drugidomen.com, www.drugidomen.rs, *. mojdomen.rs… Dokle god se radi o javnom domenu za koji možete da potvrdite pravo korišćenja, nema ograničenja šta možete upisati kao SAN. 

Važno je napomenuti da svako ime, bilo domen ili poddomen, koje želite da bude obuhvaćeno sertifikatom mora da bude navedeno kao SAN. Na primer, ako kao SAN navedete mojdomen.com, ne podrazumeva se da će biti pokriven i njegov poddomen mail.mojdomen.com, niti bilo koji drugi poddomen. Znači, SAN ne važi za neograničen broj domena ili poddomena, nego samo za one koji su navedeni u zahtevu za izdavanje sertifikata (CSR).

SAN-ovi su praktično dodaci uz SSL sertifikat, što znači da kupujete SSL sertifikat + onoliko SAN-ova koliko imate domenskih imena.