Domain Validated (DV) vs Organization Validated (OV) Zertifikate

Unterschied zwischen DV und OV SSL Zertifikaten

Es gibt drei Arten von SSL-Zertifikaten: Domain Validated (DV), Organization Validated (OV) und Extended Validation (EV).

Es wurden schon viele Artikel darüber geschrieben, wie Browser die Unterschiede zwischen EV SSL und Nicht-EV SSL anzeigen (die Aktivierung der grünen Zeile ist die offensichtlichste Art). Um aber den Unterschied zwischen den Nicht-EV SSL-Zertifikaten, nämlich DV und OV, zu bestimmen, ist es notwendig, die Struktur des Zertifikats selbst zu überprüfen.

Deterministischer Ansatz

Heutzutage ist der einzige Weg, mit Sicherheit zu wissen, dass ein Zertifikat von einem bestimmten Typ ist, die Praktiken der einzelnen CAs zu kennen. Beim X.509 PKI/Digitale Zertifikate-Standard, soll der Aussteller seine Praktiken über die Zertifikatsrichtlinien Erweiterung, wie in RFC 5280 festgelegt, zum Ausdruck bringen.

Damit kann eine CA einen eindeutigen Identifier (ein OID) in ausgestellten Zertifikaten ausdrücken, der auf ein Dokument verweist, das ihre Praktiken im Zusammenhang mit diesem Zertifikat beschreibt. Dieser Identifier kann programmatisch verwendet werden, um Entscheidungen über die Vertrauenswürdigkeit eines Zertifikats zu treffen oder um die Benutzeroberfläche in einer Anwendung je nach Art des Zertifikats zu unterscheiden.

Genau so können Browser heutzutage erkennen, ob ein Zertifikat ein EV-Zertifikat ist. Im Wesentlichen haben sie eine Konfiguration, die sagt: "Ich vertraue GlobalSign, EV-Zertifikate auszustellen, wenn mir ein Zertifikat von ihnen präsentiert wird, das diese Richtlinien-OID aufweist. Ich zeige die EV-Benutzeroberfläche, wie z.B. die Aktivierung der grünen Adresszeile."

Die CAB/Forum Baseline Requirements verwenden den gleichen Ansatz, indem sie Identifier für Domain Validated und Organisation Validated Zertifikate definieren. Dies sind:

Typ Richtlinien-Identifier (OID)
Domain Validated 2.23.140.1.2.1
Organization Validated 2.23.140.1.2.2

Mit diesen Identifiern kommen wir unserem Ziel der deterministischen Auswertung von Zertifikatausstellungsrichtlinien ein ganzes Stück näher - aber nicht alle CAs haben sie bisher angenommen.

Heuristischer Ansatz

Da die CA/B Forum Baseline Requirements erst 2012 eingeführt wurden, wird es natürlich einige Zeit dauern, bis die vorhandene installierte Basis von Zertifikaten mit diesen oben beschriebenen Richtlinien Identifiern neu ausgestellt worden sind. GlobalSigns CTO, Ryan Hurst, beschreibt einige Beispiel-Codes, wie Sie Ihre Anwendung so konfigurieren, dass sie die Zertifikatsklasse ohne Abhängigkeit von Object Identifiern bestimmen:

Ryan Hurst über heuristische Ansätze zur Bestimmung von Zertifikatsklassen: http://unmitigatedrisk.com/?p=203.

Zusammenfassung

Leider gibt es heute keinen deterministischen Weg, um zu erkennen, ob ein Zertifikat Domain oder Organization Validated ist. Aber die Dinge ändern sich und in ein paar Jahren wird es hoffentlich möglich sein.

Bis dahin gibt es Heuristiken, mit denen Sie diese Art von Zertifikaten unterscheiden können.