Как отличить сертификаты домена (DV) и организации (OV)
Есть три вида SSL-сертификатов: сертификаты проверки домена (DV), организации (OV) и сертификаты расширенной проверки (EV)
Было написано много статей о том, как браузеры отображают различия между сертификатами расширенной проверки (EV) и остальные сертификаты. Но чтобы понять разницу между сертификатами OV и DV, необходимо изучить структуру самого сертификата.
Детерминированный подход
На сегодняшний день единственно верным образом отличить тип сертификата можно лишь при знании методов работы каждого центра сертификации. В стандарте X.509 Стандарт PKI/Digital Certificate определяет для поставщиков метод описания политики формирования сертификатов. Это описывается в дополнении о политиках сертификации RFC 5280.
Таким образом центры сертификации в выпущенных сертификатах могут записывать уникальный идентификатор (OID), который указывает на документ, описывающий методы формирования данного сертификата. Этот идентификатор может использоваться в различных программах для принятия решений о степени доверенности сертификата и для видоизменения интерфейса пользователя на основе типа рассматриваемого документа.
Именно таким образом нынешние браузеры могут отличить сертификат высокой надежности. По сути дела браузеры разработаны с учетом следующего положения: « Мы, разработчики браузера, доверяем компании GlobalSign выпуск сертификатов высокой надежности. Когда браузеру предоставляется сертификат, выпущенный этой компанией и с этим OID-идентификатором политики, пользовательский интерфейс будет изменен, например. будет активирована зеленая адресная строка».
Основные требования форума CA/B описывают такой же подход для определения идентификаторов для сертификатов доменов и организаций.
| Тип | Идентификатор политики |
|---|---|
| Проверенный домен (DV SSL) | 2.23.140.1.2.1 |
| Проверенная организация (OV SSL) | 2.23.140.1.2.2 |
Наличие этих идентификаторов способствует давнишней цели — прямому анализу политики выпуска сертификата. На данный момент не все центры сертификации переняли подобный метод.
Эвристический подход
Так как основные требования форума CA/B были сформулированы только в 2012 году, на повторный выпуск имеющейся базы сертификатов с идентификаторами политики уйдет некоторое время.
Резюме
К сожалению, на сегодняшний день нет определенного способа отличить сертификат домена от сертификата организации. Все же прогресс не стоит на месте и, как мы надеемся, через пару лет это будет возможно.
На данный же момент есть эвристики, с помощью которых можно различить эти типы сертификатов.