Har du någonsin märkt att din webbläsare ibland visar en webbplats organisationsnamn på en krypterad webbplats? Detta är ett tecken på att webbplatsen har ett utökat verifieringscertifikat, vilket indikerar att webbplatsens identitet har verifierats.
EV-certifikat ger ingen ytterligare krypteringsstyrka - istället anger ett EV-certifikat att omfattande verifiering av webbplatsens identitet har ägt rum. Standard SSL-certifikat ger väldigt lite verifiering av webbplatsens identitet.
Hur webbläsare visar utökade valideringscertifikat
På en krypterad webbplats som inte använder ett utökat valideringscertifikat säger Firefox att webbplatsen "drivs av (okänd)."
Chrome visar inte något annorlunda och säger att webbplatsens identitet verifierades av certifikatutfärdaren som utfärdade webbplatsens certifikat.
När du är ansluten till en webbplats som använder ett utökat valideringscertifikat, säger Firefox att det drivs av en specifik organisation. Enligt denna dialog har VeriSign verifierat att vi är anslutna till den riktiga PayPal-webbplatsen, som drivs av PayPal, Inc.
När du är ansluten till en webbplats som använder ett EV-certifikat i Chrome visas organisationens namn i adressfältet. Informationsdialogen berättar att PayPals identitet har verifierats av VeriSign med ett utökat valideringscertifikat.
Problemet med SSL-certifikat
För flera år sedan använde certifikatmyndigheter för att verifiera webbplatsens identitet innan de utfärdade ett certifikat. Certifikatmyndigheten skulle kontrollera att det företag som begär certifikatet var registrerat, ringa telefonnumret och verifiera att verksamheten var en legitim operation som matchade webbplatsen.
Så småningom började certifikatmyndigheter att erbjuda certifikat endast för domäner. Dessa var billigare, eftersom det var mindre arbete för certifikatutfärdaren att snabbt kontrollera att den som begärde ägde en viss domän (webbplats).
Phishers började så småningom dra nytta av detta. En phisher kan registrera domänen paypall.com och köpa ett certifikat som endast är domän. När en användare är ansluten till paypall.com, visar användarens webbläsare standardlåsikonen, vilket ger en falsk känsla av säkerhet. Webbläsare visade inte skillnaden mellan ett endast domäncertifikat och ett certifikat som innebar en mer omfattande verifiering av webbplatsens identitet.
Allmänhetens förtroende för certifikatmyndigheter för att verifiera webbplatser har sjunkit - det här är bara ett exempel på att certifikatmyndigheter inte gör sin due diligence. Under 2011 fann Electronic Frontier Foundation att certifikatmyndigheter hade utfärdat över 2000 certifikat för ”localhost” - ett namn som alltid hänvisar till din nuvarande dator. ( Källa ) I fel händer kan ett sådant certifikat underlätta man-i-mitten-attacker.
Hur utökade valideringscertifikat är olika
Ett EV-certifikat anger att en certifikatutfärdare har verifierat att webbplatsen drivs av en specifik organisation. Till exempel, om en phisher försökte få ett EV-certifikat för paypall.com, skulle begäran avslås.
Till skillnad från vanliga SSL-certifikat får endast certifikatutfärdare som godkänner en oberoende granskning utfärda EV-certifikat. Certifieringsmyndigheten / Browser Forum (CA / Browser Forum), en frivillig organisation av certifieringsmyndigheter och webbläsarleverantörer som frågor från Mozilla, Google, Apple och Microsoft strikta riktlinjer som alla certifikatutfärdare som utfärdar utökade valideringscertifikat måste följa. Detta förhindrar idealt att certifikatmyndigheterna deltar i en annan "race to the bottom", där de använder lax verifiering för att erbjuda billigare certifikat.
Kort sagt kräver riktlinjerna att certifikatmyndigheter verifierar att den organisation som begär certifikatet är officiellt registrerad, att den äger domänen i fråga och att den person som begär certifikatet agerar på organisationens vägnar. Det handlar om att kontrollera offentliga register, kontakta domänens ägare och kontakta organisationen för att verifiera att den person som begär certifikatet arbetar för organisationen.
Däremot kan en certifikatverifiering endast för domäner bara innebära en blick på domänens vem som registrerar för att verifiera att registranten använder samma information. Utfärdandet av certifikat för domäner som "localhost" innebär att vissa certifikatmyndigheter inte ens gör så mycket verifiering. EV-certifikat är i grunden ett försök att återställa allmänhetens förtroende för certifikatmyndigheter och återställa sin roll som portvakter mot bedragare.
