EV сертификатите не осигуряват никаква допълнителна сила на шифроване - вместо това, сертификатът за EV показва, че е извършена задълбочена проверка на самоличността на уебсайта. Стандартните SSL сертификати осигуряват много малка проверка на самоличността на уебсайта.
Как браузърите показват сертификати за разширена валидация
На шифрован уебсайт, който не използва разширен сертификат за валидиране, Firefox казва, че сайтът е "управляван от (неизвестен)".
Проблемът със сертификатите за SSL
Преди години сертификационните органи са използвали да потвърдят самоличността на уебсайта преди да издадат сертификат. Сертифициращият орган ще провери дали фирмата, която иска сертификат, е била регистрирана, да се обади на телефонния номер и да потвърди, че бизнесът е легитимна операция, съответстваща на уебсайта.
В крайна сметка сертификационните органи започнаха да предлагат сертификати "само за домейни". Те бяха по-евтини, тъй като работата на сертифициращия орган бе по-малка, за да провери бързо дали заявителят притежава конкретен домейн (уебсайт).
Фишърс в крайна сметка започна да се възползва от това. Phisher може да регистрира домейна paypall.com и да закупи сертификат само за домейни. Когато потребителят е свързан към paypall.com, браузърът на потребителя ще покаже стандартната икона за заключване, осигурявайки фалшиво чувство за сигурност. Браузърите не показват разликата между сертификат само за домейн и сертификат, който включва по-широка проверка на самоличността на уебсайта.
Публичното доверие в сертифициращите органи за проверка на уеб сайтове е паднало - това е само един пример за това, че сертифициращите органи не успяват да направят своята due diligence. През 2011 г. Electronic Frontier Foundation установи, че сертифициращите органи са издали над 2000 сертификати за "localhost" - име, което винаги се отнася до текущия ви компютър. (Източник) В неправилни ръце такъв сертификат може да направи атаките "човек в средата" по-лесни.
Какви са разширените сертификати за валидиране
Сертификатът за EV показва, че сертифициращият орган е потвърдил, че уебсайтът се управлява от конкретна организация. Например, ако phisher се опита да получи EV сертификат за paypall.com, искането ще бъде отхвърлено.
За разлика от стандартните SSL сертификати, само сертифициращите органи, които преминават независим одит, имат право да издават сертификати за EV. Фондът за сертифициране / браузър, доброволна организация на сертифициращи органи и доставчици на браузъри, като Mozilla, Google, Apple и Microsoft, издава строги указания, които трябва да следват всички сертифициращи органи, които издават разширени сертификати за валидност. Това в идеалния случай не позволява на сертифициращите органи да участват в друго "състезание до дъното", където използват неестествени практики за проверка, за да предлагат по-евтини сертификати.
Накратко, насоките изискват от сертифициращите органи да проверят дали организацията, поискала удостоверението, е официално регистрирана, че притежава съответния домейн и че лицето, поискало сертификата, действа от името на организацията. Това включва проверка на правителствените записи, свързване със собственика на домейна и връзка с организацията, за да се увери, че лицето, поискало удостоверението, работи за организацията.
Обратно, проверката на сертификат само за домейни може да включва само поглед към досиетата на домейна, за да се провери дали регистрантът използва същата информация. Издаването на сертификати за домейни като "localhost" означава, че някои сертифициращи органи дори не правят толкова много проверки. EV сертификатите са основен опит да се възстанови общественото доверие в сертифициращите органи и да се възстанови ролята им на охранители на противниците.
