¿Cómo diferencia un usuario final entre los certificados OV y DV?

¿Por qué crees que puedes confiar en las empresas registradas oficialmente en algunos países más de lo que puedes confiar en los dominios registrados alojados en cualquiera?

EV tiene una ventaja obvia con una validación más estricta, sin embargo, las diferencias en la confiabilidad entre los otros dos son bastante discutibles. Los proveedores de navegadores que soportan EV simplemente no sintieron la necesidad de acordar una identificación visual de los otros dos (VO , DV) modelos de verificación, ya que ninguno de ellos proporciona una clara ventaja sobre el otro (si existe alguno).

En resumen, ninguno de los principales proveedores de navegadores sintió la necesidad o la necesidad de diferenciar entre los dos y respaldarlos con su nombre. Bueno que ellos tampoco lo hicieron. Si las empresas pueden resistir el escrutinio que trae el EV, nadie los detendrá para solicitar dicho certificado. Por otro lado, también hay una clara necesidad de certificados más baratos donde la verificación adicional no se ajuste a su rango de precios. Los proveedores de navegadores (y las interfaces de usuario de otros proveedores de software) con soporte para EV, sin embargo, no respaldan estos certificados más baratos de ninguna otra forma especial que lo que ya existe como es habitual, por las razones mencionadas anteriormente.

En cuanto a la otra parte de su pregunta (inspección visual de los datos del certificado), OV y DV diferirían en su descripción, en la que OV generalmente tiene más datos sobre la compañía para la que se emitió, pero eso es todo. Esta pantalla de información adicional puede variar entre diferentes clientes, aunque. Sin embargo, la imagen que está adjuntando es de Wikipedia , y no mencionó qué navegador estaba inspeccionando información detallada sobre el certificado, por lo que no puedo decir qué diferencias podría ver en un navegador desconocido.

^{EjemplodecertificadodevalidaciónextendidaenMozillaFirefox(arriba).}

EDITAR:elcertificadoDVnocontieneinformacióndeidentificaciónenelcampodenombredelaorganización.Porlogeneral,estevalorsimplementevuelveaindicarelnombrededominioosimplementedice"Persona no validada", "(desconocido)", etc. Esto no es estándar para todos los CAs tho. Otra forma sería inspeccionar el identificador de política (si está presente) donde 2.23.140.1.2.1 significa DV, y 2.23.140.1.2.2 para OV. Nuevamente, esto no es adoptado por todas las AC. En resumen, no hay una manera determinista de saber si un certificado fue validado por un dominio u organización.

^{Ejemplo de certificado de dominio validado en Mozilla Firefox (arriba). Observe la falta de datos significativos en el campo de información de la organización.}

No hay diferencia entre DV y OF en el campo de identidad del navegador. La siguiente captura de pantalla muestra este campo para Chrome, Firefox y MSIE. Tanto para DV como para OV, solo la URL (sin nombre de la empresa) se muestra en el campo de identidad.

Cuando el sitio tiene EV, se muestra el nombre de la empresa junto con la URL. Chrome y MSIE usan un fondo verde para el nombre de la compañía, mientras que Firefox usará un texto verde para el nombre de la compañía.

Sinembargo,siobservaelcertificadoensí,veráladiferencia.

LosdossiguientesscreendumpssondelvisordecertificadosdeFirefox.

ElsiguientescreendumpesdeunsitioconsoloValidacióndeDominio(DV).Comopuedever,nohayinformaciónsobrelaorganizaciónenelcertificado.

ElsiguientescreendumpesdeunsitioconValidacióndelaOrganización(OV).Aquípuedeverelnombredelaorganizaciónpropietariadeldominio.

TambiénencontraráelnombredelaorganizacióndeunsitioconValidaciónampliada(EV).LadiferenciaentreOVyEVesqueelnombredelacompañíasemuestraenelcampodeidentidaddelnavegadorsielsitiotieneuncertificadoEV,peronositieneuncertificadoOV.

OtraformadedistinguirloscertificadosDVyOVesinspeccionarelidentificadornuméricodelapolítica(apareceenlapestaña"Detalles" del certificado, si está presente). Tenga en cuenta que este identificador no es adoptado por todas las CA. Los valores utilizados para el identificador de política se muestran a continuación:

DV 2.23.140.1.2.1
OV 2.23.140.1.2.2

Las extensiones y los OID en cuestión se pueden leer con una línea de comandos openssl x509 -noout -text -in <cert.file> .

Al hacer eso con regularidad, es posible que desee ser exacto. Aquí hay un fragmento de mi propia herramienta auxiliar de certificados de Python 3:

known_policies = {
        '2.23.140.1.2.1': 'DV',
        '2.23.140.1.2.2': 'OV',
        '2.23.140.1.3':   'EV'
}
policy_re = re.compile(r'.*(2\.23\.140\.1\.[.0-9]+)', re.DOTALL)
ext = x509.get_extension(idx)
if ext.get_short_name().decode('ascii') != 'certificatePolicies':
    # Other type of extension, not interested in that
    continue

policy_match = policy_re.match(str(ext))
if not policy_match:
    # Doesn't seem to contain valid policy information
    continue

policy_oid = policy_match.group(1)
type = known_policies[policy_oid]

La idea general es usar la biblioteca OpenSSL de Python para leer y cargar un certificado X.509. Luego itere sus extensiones mientras busca una extensión certificatePolicies . La condición normal esperada es que exista uno de los OID codificados en los datos de extensión.