如何区分域名验证证书(DV SSL)和组织验证证书(OV SSL)
目前有三种SSL证书:域名验证证书(DV SSL),组织验证证书(OV SSL)和扩展验证证书(EV SSL)
关于浏览器如何显示EV SSL和非EV SSL之间的差异,已经写了许多文章。然而,为了确定非EV SSL证书(即DV和OV)之间的差异,有必要检查证书本身的结构。
确定性方法:
如今,要清楚知道证书的特定类型,唯一的方法是了解每个证书颁发机构(CA)的实践。在X.509 PKI/数字证书标准中,发行人应该通过RFC 5280中定义的证书策略扩展来表达其实践。
这允许CA在颁发的证书中表示唯一标识符(OID),该标识符映射到描述其与此证书相关联的实践的文档。该标识符可以以编程方式用于做出关于证书的信任决策,或者基于证书类型区分应用程序中的用户界面。
这正是当今浏览器判断证书是否为EV证书的方式。本质上,他们有一些配置,表示“我相信GlobalSign会颁发EV证书,当他们向我提供具有此策略OID的证书时,就会显示EV用户体验。
CAB/论坛基线要求使用相同的方法定义域验证和组织验证证书的标识符,这些是:
| 类型 | 组织验证 |
|---|---|
| 域名验证 | 2.23.140.1.2.1 |
| 组织验证 | 2.23.140.1.2.2 |
有了这些标识符,我们就可以实现对证书颁发策略进行确定性评估的目标——也就是说,并非所有CA都采用了它们。
启发式方法:
由于CA/B论坛基线要求仅在2012年建立,因此重新发布现有证书安装库以使用上述策略标识符自然需要一些时间。GlobalSign的CTO Ryan Hurst详细介绍了一些示例代码,说明如何配置应用程序以确定证书类,而不依赖对象标识符。
总结:
现在还没有一种确定的方法来判断证书是否经过域名或组织验证,但是可能在几年内可以实现这个操作。
同时,您可以使用一些启发式方法来帮助区分这些类型的证书。