Fine dell’Extended Validation?

L’Extended Validation (EV) è un certificato SSL/TLS conforme a X.509 in cui viene garantita anche l’identità legale del titolare.

Quando si acquista un certificato TLS si hanno fondamentalmente tre opzioni.

Domain Validation (DV): emessi senza interazione umana, ma con controlli automatici. Se acquistati da entità commerciali costano poco, se generati con Let’s Encrypt sono gratuiti. Questi certificati validano il nome a dominio.

Organization Validation (OV): come quelli sopra, ma emessi con interazione umana. L’emittente richiede che venga fornita della documentazione comprovante l’identità di chi richiede il certificato. Il costo parte da 10 volte i DV, in quanto è necessaria una struttura diversa. Se utilizzati per HTTPS, sono indistinguibili dai DV. Questi certificati sono noti anche con il nome High Assurance.

Extended Validation (EV): come gli OV, ma con un controllo maggiore dell’identità del richiedente, il quale deve fornire una gran mole di documentazione all’ente certificatore per dimostrare di essere effettivamente chi dice di essere. Al momento di scrivere questo articolo, alcuni browser mostrano la stringa dell’identità legale nella barra dell’URL.

Gli EV sono utilizzati principalmente da istituti bancari o similari, anche se esistono siti al di fuori dell’ambito finanziario che ne fanno uso come, ad esempio, GitHub. Fino a poco tempo fa anche Twitter era validato da un EV, ora utilizza un OV.

Da notare che nessuno dei dieci siti più utilizzati di Internet utilizza un EV e nemmeno i maggiori siti di ecommerce utilizzano certificati EV.

I certificati EV sono stati introdotti nel 2007 e i browser hanno iniziato a visualizzare nella barra dell’URL il nome della società intestataria del certificato.

Poi sono arrivati i dispositivi mobili.

Nonostante quello che vi raccontano, i telefoni hanno uno schermo piccolo in cui già la visualizzazione dell’URL viene spesso tolta di mezzo, figuriamoci l’indicazione del proprietario del certificato.

Chrome 76 per cellulari, il browser di iOS 12 e Safari di MacOS 10.14 non visualizzano più il nome del titolare del certificato EV.

Chrome (qui) e Firefox (qui) hanno annunciato di voler rimuovere l’indicazione anche dalle versioni desktop dei browser.

Il motivo è che molti esperti di sicurezza hanno dimostrato come sia possibile ingannare le società emittenti per ottenere un certificato EV che possa trarre in inganno un utente poco attento.

Da qui la conclusione che evidenziare graficamente una connessione validata da un certificato EV possa di fatto aiutare i malviventi.

Ovviamente dall’altro lato le società emettritrici di certificati cercano di mantenere attivo il business degli EV, in quanto sono quelli più costosi.

Va sottolineato che i diversi tipi di certificato, DV, OV o EV che siano, non hanno diversi livelli di sicurezza quando si accede in HTTPS, ma offrono solamente diversi tipi di servizi resi dalla società emittente.

In altre parole, che sia un certificato gratuito di Let’s Encrypt o un costosissimo EV, gli algoritmi di cifratura e di scambio chiavi tra server e browser sono sempre i medesimi.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Un commento su “Fine dell’Extended Validation?”

  1. “OV: [cut] Se utilizzati per HTTPS, sono indistinguibili dai DV.”

    “Va sottolineato che i diversi tipi di certificato, DV, OV o EV che siano, non hanno diversi livelli di sicurezza quando si accede in HTTPS, ma offrono solamente diversi tipi di servizi resi dalla società emittente.”

    Peccato che alcuni responsabili IT non lo abbiano ancora capito….

Spazio per un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.