EV-sertifikaatit eivät tarjoa mitään ylimääräistä salausvoimaa. Sen sijaan EV-todistus osoittaa, että sivuston identiteetin laajamittainen tarkistus on tapahtunut. Vakio SSL-sertifikaatit antavat hyvin vähän todentavaa verkkosivuston identiteettiä.
Selaimet näyttävät laajennetut varmenteet
Salatussa verkkosivustossa, joka ei käytä laajennettua validointitodistusta, Firefox sanoo, että sivustoa "ajaa (tuntematon)".
SSL-sertifikaattien ongelma
Vuosia sitten sertifikaattien viranomaiset vahvistivat verkkosivuston identiteetin ennen todistuksen antamista. Varmenneviranomainen tarkistaisi, että varmennepyyntöyritys on rekisteröity, soita puhelinnumeroon ja tarkista, että yritys oli oikeutettu operaatio, joka sopi verkkosivustolle.
Todentamisviranomaiset alkoivat lopulta tarjota "vain verkkotunnusta" -todistuksia. Nämä olivat halvempia, koska varmenteen myöntäjälle oli vähemmän tehtävää tarkistaa nopeasti, että pyytäjä omisti tietyn verkkotunnuksen (verkkosivusto).
Phishers lopulta alkoi hyödyntää tätä. Fisher voisi rekisteröidä verkkotunnuksen paypall.com ja ostaa verkkotunnuksen vain todistuksen. Kun käyttäjä liittyi paypall.com-palveluun, käyttäjän selaimessa näkyisi standardi lukkosymboli, joka antaa väärän tietoturvan. Selaimissa ei näkynyt eroa vain verkkotunnuksen sisältävän todistuksen ja sertifikaatin välillä, joka sisälsi laajemman verkkosivustoidentiteetin vahvistamisen.
Julkinen luottamus sertifikaattien viranomaisiin verkkosivustojen vahvistamisesta on laskenut - tämä on vain yksi esimerkki varmentajista, jotka eivät ole tehneet asianmukaista huolellisuuttaan. Vuonna 2011 Electronic Frontier -säätiö havaitsi, että varmentaja oli myöntänyt yli 2000 sertifikaatin "localhost" - nimelle, joka viittaa aina nykyiseen tietokoneeseesi. (Lähde) Väärissä käsissä tällainen todistus voisi helpottaa ihmisen keskellä olevia hyökkäyksiä.
Kuinka pitkät validointitodistukset ovat erilaiset
EV-sertifikaatti osoittaa, että varmenteen myöntäjä on varmistanut, että tietyn organisaation ylläpitää verkkosivustoa. Esimerkiksi jos phisher yritti saada EV-todistuksen paypall.comille, pyyntö hylättiin.
Toisin kuin tavalliset SSL-sertifikaatit, vain todistuksen myöntävät viranomaiset voivat antaa EV-todistuksia. Varmentaja / selainfoorumi (CA / Browser Forum), vapaaehtoinen sertifiointiviranomaisten organisaatio ja selaimen toimittajat, kuten Mozilla, Google, Apple ja Microsoft, antavat tiukkoja ohjeita, joita kaikkien laajennetun validointitodistuksen myöntävien sertifikaattien viranomaisten on noudatettava. Tämä estää varmentamisviranomaisten mahdollisuuden osallistua toiseen "kilpailuun pohjaan", jossa he käyttävät lax-vahvistuskäytäntöjä tarjotakseen halvemmat todistukset.
Lyhyesti sanottuna suuntaviivat edellyttävät, että varmenteen myöntäjät varmistavat, että organisaatio, joka pyytää sertifikaattia, on virallisesti rekisteröity, että se omistaa kyseessä olevan verkkotunnuksen ja että todistuksen pyytävän henkilö toimii organisaation puolesta. Tämä edellyttää valtion rekisterin tarkistamista, verkkotunnuksen omistajan ottamista yhteyttä ja yhteyden ottamista organisaatioon sen varmistamiseksi, että varmenteen pyytävän henkilö toimii organisaatiossa.
Sitä vastoin vain verkkotunnuksen varmenteen vahvistaminen voi sisältää vain katsauksen verkkotunnuksen whois-tietueisiin, jotta varmistetaan, että rekisteröijä käyttää samoja tietoja. Sertifikaattien antaminen verkkotunnuksille, kuten "localhost", merkitsee sitä, että jotkut varmenneviranomaiset eivät edes suorita niin paljon tarkistusta. EV-todistukset ovat pohjimmiltaan yritys palauttaa yleisön luottamus sertifikaattien viranomaisiin ja palauttaa asema portinvartijoiksi säätäjiä vastaan.
