浏览器是如何识别SSL证书类型的?
2023年8月8日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

有用户反映,零信浏览器升级到114版本后原先97版本显示网站身份认证级别为T3的网站显示为T1,在浅绿色地址栏显示的单位名称也不见了,这是怎么回事?本文就讲一讲这个问题,这个问题与114版本无关,这是一个关于国密SSL证书类型如何定义和浏览器如何识别的问题,也是一个零信技术参与制定的相关国密标准中的待定的问题,笔者认为有必要好好讲一讲这个问题,以期不仅能解答用户的问题,而且还能给制定国密SSL证书标准中的证书类型讨论抛砖引玉,有利于业界达成共识。

如下左图所示,这是零信浏览器在内核升级之前显示北京银行个人网银页面,在浅绿色地址栏上显示绿色加密锁标识、绿色国密加密标识和绿色T3标识。右图为这次升级后显示的界面,这与内核版本升级没有任何关系,只是与这次升级改变了UI显示规则有关。这个由正常显示网站身份认证级别为“T3”的网站变成了显示为“T1”,并不是零信浏览器弄错了,而是由于这个网站部署的SSL证书没有正确的证书类型OID导致的。本文就详细讲一下证书类型OID。

SSL证书类型有4类:DV SSL、IV SSL、OV SSL和EV SSL,这是按照身份认证级别来定义的。其中,DV SSL证书只需验证域名控制权,IV SSL证书不仅需要验证域名控制权,而且还需要验证网站的个人身份;OV SSL证书不仅需要验证域名控制权,而且还需要验证网站的单位身份;EV SSL证书不仅需要验证域名控制权,而且还需要按照更严格的验证标准来扩展验证网站的单位身份。

零信技术依据这个分类给网站可信身份也一样定义了4个级别:T1、T2、T3和T4,T就是英文“Trust”的第一个字母,T1、T2、T3和T4分别对应DV SSL、IV SSL、OV SSL和EV SSL。也就是说,凡是部署了DV SSL证书的网站,浏览器地址栏会显示T1标识,如此类推,部署了IV/OV/EV SSL证书的网站会分别显示T2/T3/T4标识。上左图大家看到的北京银行网站的T3标识为何升级到114版本后就变成了上右图的T1标识了呢?这是本文要讲的重点。

为了让浏览器能正常识别网站部署的SSL证书的证书类型和身份认证级别,国际标准组织-CA/浏览器论坛为4种SSL证书类型定义了4个OID,分别是:

  • ✦ DV SSL证书: CA/B Forum OID:2.23.140.1.2.1
  • ✦ IV SSL证书: CA/B Forum OID:2.23.140.1.2.3
  • ✦ OV SSL证书: CA/B Forum OID:2.23.140.1.2.2
  • ✦ EV SSL证书: CA/B Forum OID:2.23.140.1.1

所有国际SSL证书都会在SSL证书的“证书策略”字段包含这4个OID之一来证明这张SSL证书是什么类型的SSL证书。如下左图所示为零信官网部署的国际SSL证书的证书策略“Policy Identifier=2.23.140.1.2.1”,这就表明这张SSL证书是DV SSL证书,而右图为证签官网部署的国际SSL证书的证书策略“Policy Identifier=2.23.140.1.1”,这就表明这张SSL证书是EV SSL证书。

早期所有浏览器都对部署了EV SSL证书的网站显示为绿色地址栏就是依据EV SSL OID来判断的,而为了防止CA机构错误使用EV SSL类型OID,浏览器一般要求CA机构再提供一个EV SSL证书专用的从各CA自己的OID体系分配的OID,如上右图的第一个OID就是Sectigo的专用EV SSL OID,浏览器会另外预置管理一个能签发EV SSL证书的根证书列表。下图为IE浏览器显示的EV SSL证书效果。

虽然其他浏览器现在都已经放弃了EV SSL证书的绿色地址栏,但是零信浏览器认为EV绿色地址栏仍然是很有价值的,能让用户一眼就能识别出这个网站是一个高度可信的网站,因为其真实身份已经通过第三方可信CA机构的严格认证。所以,零信浏览器继续维持EV SSL证书的绿色地址栏,继续为证书中含有国际标准EV SSL证书OID的网站显示绿色地址栏。而其他类型的SSL证书也一样依据国际标准的证书类型OID来识别网站部署的SSL证书的类型,从而显示不同的UI,对于部署了DV SSL证书的网站,地址栏显示T1标识,而对于部署了EV SSL证书的网站地址栏显示为T4标识。

谷歌浏览器虽然放弃了EV绿色地址栏,但是仍然保留了对部署了EV SSL证书的网站在“证书有效”标识下显示这张SSL证书绑定的单位名称(证书主题O字段)。

回到用户的问题,北京银行部署的国密SSL证书中“证书策略”中并没有上面所展示的4个OID之一,如下左图所示,所以,零信浏览器由于无法识别证书类型而只能显示为“T1”标志,因为这张SSL证书之所以能签发,一定是已经完成了域名控制权验证,一定满足显示T1标识的要求。用户一定会问:既然没有所要求的OID,那为何97版本能显示为“T3”标识呢?请看下右图,这张SSL证书的主题信息中有O字段,97版本就是依据这张SSL证书有O字段就在地址栏显示T3标识和显示O字段的单位名称,这是97版本当时在发现几乎所有国密SSL证书都没有证书类型OID后做出的妥协方案,而这次升级到114版本后,零信浏览器调整了UI方案,严格依据国际标准来展示网站部署的SSL证书类型,所以,新版本浏览器就因为找不到证书类型OID而显示为“T1”标识。

也许专业用户或者签发CA会反问:为何我们签发的国密SSL证书类型必须有国际SSL证书类型OID呢?我们就是喜欢用自己的OID,浏览器是否可以依据我们自己的OID来识别出正确的证书类型呢?这些都是好问题。零信浏览器在发布 可信根证书认证计划 时就已经明确告知各CA,零信浏览器已经免费为国密SSL证书类型定义了4个OID,所有CA机构都可以免费使用这4个OID来定义自己签发的国密SSL证书类型。

  • ✦ DV SSL证书:1.2.156.157933.11,对应CA/B Forum OID:2.23.140.1.2.1
  • ✦ IV SSL证书: 1.2.156.157933.12,对应CA/B Forum OID:2.23.140.1.2.3
  • ✦ OV SSL证书:1.2.156.157933.13,对应CA/B Forum OID:2.23.140.1.2.2
  • ✦ EV SSL证书:1.2.156.157933.14,对应CA/B Forum OID:2.23.140.1.1

也就是说,零信浏览器会依据4个国际标准证书类型OID和4个零信浏览器证书类型OID来判断SSL证书的类型,如果SSL证书的证书策略含有OID: 1.2.156.157933.14 或者 2.23.140.1.1,则零信浏览器就知道这张SSL证书是EV SSL证书,就会显示T4标识,如下左图所示,这张国密SSL证书中“证书策略”有“Policy ID: 2.23.140.1.1”,零信浏览器就会显示T4标识。如下右图所示,这张国密SSL证书中“证书策略”有“Policy ID: 1.2.156.157933.14”,零信浏览器也会显示T4标识。

零信云SSL服务系统签发的国密SSL证书都只包含零信浏览器定义的4个国密SSL证书类型OID,不会包含国际SSL证书类型OID,这是因为 CA/浏览器论坛官网 发布国际OID页面明确指出了这些国际OID的适用范围,如EV SSL证书OID的定义:extended-validation(1) — 2.23.140.1.1 (Certificate issued in compliance with the Extended Validation Guidelines) (适用于遵循扩展验证指南标准签发的SSL证书)。而所有国密SSL证书只是参考了国际标准,并没有完全遵循EV国际标准,密码算法就不符合EV国际标准,所以,按照以上定义是不能使用这些国际OID来定义国密EV SSL证书。这就是零信技术在讨论制定国密SSL证书标准时提出“必须制定国密SSL证书的证书类型OID”提议的依据。而在国密SSL证书类型没有国密标准OID之前,零信技术免费提供了4个国密SSL证书类型OID供各个国密CA机构免费使用。

零信浏览器目前采用的政策是兼容国际证书类型OID,无论国密SSL证书中含有国际SSL证书类型OID还是零信浏览器制定的国密SSL证书类型OID,零信浏览器都能正确显示国密SSL证书类型,其他非这两类OID都不被正确识别而导致证书类型显示为T1标识。零信浏览器无法识别每个CA自定义的证书类型OID。

细心的读者可能还会问:零信官网部署的国际SSL证书的证书策略“Policy Identifier=2.23.140.1.2.1”,是DV SSL证书,为何零信浏览器会显示T4标识?同样,为何中国政府官网部署的是OV SSL证书,为何零信浏览器会显示T4标识?

这也是零信浏览器的创新之一—网站可信认证服务。鉴于全球83%的网站部署的是未验证网站身份的DV SSL证书,为了解决这些网站的可信身份缺失问题,零信技术推出了 网站可信认证服务,由零信技术来完成网站的可信身份认证,通过EV认证的网站无论网站部署的SSL证书是没有身份信息的DV SSL证书还是通过单位认证的OV SSL证书,零信浏览器都会显示“T4”标识和绿色地址栏,显示效果等同于网站部署了EV SSL证书。上图显示“T4”标识的网站已经通过零信技术的EV认证,所以会显示“T4”标识。

相信通过上面的讲解,大家应该能理解为何升级后的零信浏览器会把原先显示为“T3”标识的网站显示为“T1”标识。笔者在这里提醒各个零信浏览器信任的国密CA机构尽快升级CA系统,在签发的国密SSL证书中增加零信浏览器定义的4个SSL证书类型OID,或者添加国际SSL证书类型OID,以便零信浏览器能正确识别各家CA签发的国密SSL证书类型,正确显示网站可信认证标识。

欢迎用户申请零信网站可信认证服务,网站仍然可以部署免费的或便宜的DV SSL证书,通过零信网站可信认证后,零信浏览器会显示“T4”标识、绿色地址栏和单位名称。网站安全同时需要https加密和可信身份,能有效提升网站访问者信心,从而促成更多的在线交易。

有诗为证:

证书类型明辨别,助力用户识风险。
四种类型有标识,没有标识难识别。
可惜绿色地址栏,没有慧眼识英雄。
零信浏览器领航,独显绿色保安全。