証明書

エンドユーザーはOV証明書とDV証明書をどのように区別しますか?



How Does An End User Differentiate Between Ov



解決:

ブラウザのIDフィールドでDVとOFの間に違いはありません。以下のスクリーンショットは、Chrome、Firefox、およびMSIEのこのフィールドを示しています。 DVとOVの両方で、URL(会社名なし)のみがIDフィールドに表示されます。

サイトにEVがある場合は、URLとともに会社名が表示されます。 ChromeとMSIEは会社名に緑色の背景を使用し、Firefoxは会社名に緑色のテキストを使用します。



ここに画像の説明を入力してください

ただし、証明書自体を見ると、違いがわかります。



以下の2つのスクリーンダンプは、どちらもFirefox証明書ビューアからのものです。

以下のスクリーンダンプは、ドメイン検証(DV)のみのサイトからのものです。ご覧のとおり、証明書には組織に関する情報はありません。

ここに画像の説明を入力してください



次のスクリーンダンプは、Organization Validation(OV)のあるサイトからのものです。ここでは、ドメインを所有している組織の名前を確認できます。

ここに画像の説明を入力してください

また、Extended Validation(EV)を使用するサイトの組織名も表示されます。 OVとEVの違いは、サイトにEV証明書がある場合はブラウザのIDフィールドに会社名が表示されますが、OV証明書がある場合は表示されないことです。

DV証明書とOV証明書を区別する別の方法は、数値のポリシー識別子を調べることです(証明書の[詳細]タブ(存在する場合)の下に表示されます)。この識別子はすべてのCAで採用されているわけではないことに注意してください。ポリシー識別子に使用される値を以下に示します。

DV 2.23.140.1.2.1 OV 2.23.140.1.2.2 
一部の国で正式に登録されている企業を、どの国でホストされている登録済みドメインを信頼できるよりも信頼できると思うのはなぜですか?
 
EVには、より厳密な検証を行うという明らかな利点がありますが、他の2つの信頼性の違いはかなり重要です。 EVをサポートするブラウザベンダーは、他の2つの(OV、DV)検証モデルの個別の視覚的識別に同意する必要性を感じていませんでした。どちらも(あるとしても)明確な利点を提供しないためです。
 
要するに、主要なブラウザベンダーのいずれも、この2つを区別し、その名前でその背後に立つ必要性や希望を感じていませんでした。彼らもそうしなかったのは良いことです。企業がEVの精査に耐えることができれば、そのような証明書を申請するために企業を止めることはできません。一方で、追加の検証が価格範囲内に収まらない、より安価な証明書の必要性も明らかにあります。ただし、EVをサポートするブラウザベンダー(および他のソフトウェアベンダーのユーザーインターフェイス)は、他のどのベンダーでもこれらの安価な証明書を支持していません。 特別な 前に述べた理由のために、いつものようにすでにそこにあるものよりも方法。
 
あなたの質問の他の部分(証明書データの視覚的検査)に関しては、OVとDVは説明が異なり、OVは通常、発行された会社に関するより多くのデータを保持しますが、それだけです。この追加情報の表示は、クライアントによって異なる場合があります。ただし、添付しているその画像はWikipediaからのものであり、詳細な証明書情報を検査しているブラウザーについては言及されていないため、不明なブラウザーでどのような違いが見られるかはわかりません。
 
 MozillaFirefoxでのExtendedValidationCertificateの表示。
 
Mozilla FirefoxでのExtendedValidation証明書の例(上記)。
 
編集:DV証明書には、組織名フィールドに識別情報が含まれていません。通常、この値はドメイン名を再表示するか、単に「ペルソナが検証されていません」、「(不明)」などと表示します。これは、すべてのCAの標準ではありません。もう1つの方法は、ポリシー識別子(存在する場合)を検査することです。ここで、2.23.140.1.2.1はDVを表し、2.23.140.1.2.2はOVを表します。繰り返しますが、これはすべてのCAで採用されているわけではありません。つまり、証明書がドメイン検証済みか組織検証済みかを判断する方法はありません。
 
 MozillaFirefoxでのドメイン検証済み証明書の表示。
 
Mozilla Firefoxでのドメイン検証済み証明書の例(上記)。組織情報フィールドに意味のあるデータがないことに注意してください。
  
問題の拡張機能とOIDは、コマンドラインを実行することで読み取ることができますopenssl x509 -noout -text-in。
 
それを定期的に行うときは、正確にしたいと思うかもしれません。これが私自身のPython3証明書ヘルパーツールからのスニペットです:
 
known_policies = {'2.23.140.1.2.1': 'DV'、 '2.23.140.1.2.2': 'OV'、 '2.23.140.1.1': 'EV'} policy_re = re.compile(r '。*( 2  .23  .140  .1 。[。0-9] +) '、re.DOTALL)ext = x509.get_extension(idx)if ext.get_short_name()。decode(' ascii ')!=' certificatePolicies ':#他のタイプの拡張機能、継続することに関心がないpolicy_match = policy_re.match(str(ext))if not policy_match:#有効なポリシー情報が含まれていないようですcontinue policy_oid = policy_match.group(1)type = know_policies [policy_oid]
一般的な考え方は、PythonのOpenSSLライブラリを使用してX.509証明書を読み取ってロードすることです。次に、を探しながらその拡張機能を繰り返します 証明書ポリシー -拡大。予想される通常の状態は、拡張データにハードコードされたOIDの1つがあることです。