Сертификаты EV не обеспечивают дополнительной силы шифрования - вместо этого сертификат EV указывает на то, что была проведена обширная проверка подлинности веб-сайта. Стандартные SSL-сертификаты обеспечивают очень небольшую проверку подлинности веб-сайта.
Как браузеры показывают расширенные сертификаты проверки
На зашифрованном веб-сайте, который не использует расширенный сертификат проверки, Firefox говорит, что веб-сайт «запущен (неизвестен)».
Проблема с SSL-сертификатами
Несколько лет назад органы сертификации проверяли подлинность веб-сайта перед выдачей сертификата. Центр сертификации проверяет, зарегистрирован ли бизнес-запрос на сертификат, позвоните по номеру телефона и убедитесь, что бизнес является законной операцией, которая соответствует веб-сайту.
В конце концов, органы сертификации начали предлагать сертификаты «только для домена». Это было дешевле, так как для центра сертификации было меньше усилий, чтобы быстро проверить, что запросчик владеет определенным доменом (веб-сайтом).
Фишисты в конце концов начали использовать это. Фишер мог зарегистрировать домен paypall.com и приобрести сертификат только для домена. Когда пользователь подключился к paypall.com, браузер пользователя отобразит стандартный значок блокировки, обеспечивающий ложное ощущение безопасности. Браузеры не отображали разницу между сертификатом домена и сертификатом, который включал более полную проверку подлинности веб-сайта.
Общественное доверие к органам сертификации для проверки веб-сайтов упало - это всего лишь один пример того, как органы сертификации не выполняют должной осмотрительности. В 2011 году Фонд Electronic Frontier Foundation установил, что органы сертификации выдали более 2000 сертификатов для «localhost» - имя, которое всегда относится к вашему текущему компьютеру. (Источник) В неправильных руках такой сертификат может облегчить атаки «мужчина-в-середине».
Как расширенные сертификаты проверки различны
Сертификат EV указывает, что центр сертификации подтвердил, что веб-сайт управляется определенной организацией. Например, если фишер попытался получить сертификат EV для paypall.com, запрос будет отклонен.
В отличие от стандартных сертификатов SSL, только сертификационные органы, которые проходят независимый аудит, могут выдавать сертификаты EV. Центр сертификации / форум браузера (CA / Browser Forum), добровольная организация центров сертификации и поставщиков браузеров, таких как Mozilla, Google, Apple и Microsoft, строгие правила, которым должны следовать все сертификационные органы, выдающие расширенные сертификаты проверки. Это идеально мешает властям сертификатов участвовать в другой «гонке на дно», где они используют методы проверки слабых сторон, чтобы предлагать более дешевые сертификаты.
Короче говоря, руководящие принципы требуют, чтобы органы сертификации проверяли, что организация, запрашивающая сертификат, официально зарегистрирована, что она владеет данным доменом и что лицо, запрашивающее сертификат, действует от имени организации. Это включает проверку правительственных записей, обращение к владельцу домена и обращение в организацию для проверки того, что лицо, запрашивающее сертификат, работает для организации.
Напротив, проверка подлинности только для домена может включать только взгляд на записи whois домена, чтобы проверить, использует ли регистрант ту же информацию. Выдача сертификатов для таких доменов, как «localhost», подразумевает, что некоторые органы сертификации даже не проводят такую проверку. Сертификаты EV являются, по сути, попыткой восстановить доверие общественности к органам сертификации и восстановить их роль в качестве привратников против самозванцев.
