SSL con validación de dominio vs. SSL con validación de organización

Cómo diferenciar los certificados SSL DV y OV

Hay tres tipos de certificados SSL: Validación de Dominio (DV), Validación de Organización (OV) y Validación Extendida (EV).

Se han escrito muchos artículos sobre cómo los navegadores muestran las diferencias entre los SSL con EV y los que no lo son. Sin embargo, para determinar la diferencia entre los certificados SSL sin EV, es decir, DV y OV, es necesario revisar la estructura del propio certificado.

Enfoque determinista

En la actualidad, la única forma de saber con seguridad que un certificado es de un tipo concreto es conocer las prácticas de cada Autoridad Certificadora (CA por sus siglas en inglés). En el estándar X.509 PKI/Certificado Digital, la forma en que se supone que un emisor expresa sus prácticas, es a través de la extensión de Políticas de Certificado, tal y como se define en el RFC 5280.

Esto permite a una CA expresar un identificador único (un OID) en los certificados emitidos que se asigna a un documento que describe sus prácticas asociadas a este certificado. Este identificador puede utilizarse de forma programada para tomar decisiones de confianza sobre un certificado o para diferenciar la interfaz de usuario en una aplicación en función del tipo de certificado.

Así es exactamente como los navegadores actuales pueden saber si un certificado es un certificado EV. En esencia, tienen alguna configuración que dice "confío en que GlobalSign emita certificados EV, cuando se me presenta un certificado de ellos que tiene este OID de política, muestra la experiencia de usuario EV".

Los requisitos básicos de CAB/Forum Baseline Requirements utilizan el mismo enfoque definiendo identificadores para los certificados validados por el dominio y por la organización, que son:

Tipo Identificador de la política
Dominio validado 2.23.140.1.2.1
Organización validada 2.23.140.1.2.2

Disponer de estos identificadores nos acerca mucho a nuestro objetivo de evaluar de forma determinista la política de emisión de certificados, aunque no todas las CA los han adoptado.

Enfoque heurístico

Dado que los requisitos básicos del Foro CA/B no se establecieron hasta 2012, naturalmente se necesitará algún tiempo para que la base instalada de certificados existente se vuelva a emitir para utilizar estos identificadores de política mencionados anteriormente. El CTO de GlobalSign, Ryan Hurst, detalla un código de ejemplo sobre cómo configurar su aplicación para determinar la clase de certificado sin depender de los identificadores de objetos.

Resumen

Desgraciadamente, hoy en día no existe una forma determinista de saber si un certificado ha sido validado por un dominio o por una organización; sin embargo, las cosas están cambiando y, con suerte, dentro de unos años será posible.

Mientras tanto, hay una heurística que se puede utilizar para distinguir estos tipos de certificados.