EV-sertifikaadid ei anna mingit täiendavat krüptimise tugevust - selle asemel näitab EV-sertifikaat, et veebisaidi identiteet on ulatuslikult kontrollitud. Standardsete SSL-sertifikaatide korral on veebisaidi identiteet väga vähe kontrollitud.
Kuidas brauserid kuvavad laiendatud valideerimistunnistusi
Krüptitud veebisaidil, kus ei kasutata laiendatud valideerimistõendit, ütleb Firefox, et veebisait on "käivitanud (teadmata)".
Probleem SSL-sertifikaatidega
Aastaid tagasi kasutasid sertifitseerimisasutused veebisaidi identiteedi kinnitamiseks enne sertifikaadi väljaandmist. Sertifitseerimisasutus kontrollib, kas sertifikaadi taotletav ettevõte on registreeritud, helistage telefoninumbrile ja veenduge, et ettevõte on õigustatud toiming, mis vastab veebisaidile.
Lõpuks hakkasid sertifikaadiasutused pakkuma domeenisiseseid sertifikaate. Need olid odavamad, kuna sertifitseerimisasutusel oli vähem tööd, et kiiresti kontrollida, kas taotlejal on konkreetne domeen (veebisait).
Lõpuks hakkasid petturijad selle ära kasutama. Phisher võiks registreerida domeeni paypall.com ja osta domeenisisese sertifikaadi. Kui kasutaja kasutajaga paypall.com on ühendatud, näitab kasutaja brauser standardluku ikooni, mis annab vale turvatunde. Brauserid ei näita erinevust ainult domeenisisese sertifikaadi ja sertifikaadi vahel, mis hõlmasid veebisaidi identiteedi ulatuslikumat kontrollimist.
Veebilehtede kontrollimiseks sertifitseerimisasutuste avalik usaldus on langenud - see on vaid üks näide sertifikaadi asutustest, kes ei teinud nõuetekohase hoolsuse. 2011. aastal leidis Electronic Frontier Foundation, et sertifikaadi asutused on välja andnud üle 2000 sertifikaadi kohalikule huumorile - nime, mis alati viitab teie praegusele arvutile. (Allikas) Sellises sertifikaadis võib valedes kätes olla lihtsam käsimõistetu rünnakud.
Kui laiendatud valideerimistunnistused on erinevad
EV-sertifikaat näitab, et sertifitseerimisasutus on kinnitanud, et veebisaiti juhib konkreetne organisatsioon. Näiteks kui phisher proovis saada paypal.com-i jaoks EV-sertifikaadi, siis taotlus lükatakse tagasi.
Erinevalt tavalistest SSL-sertifikaatidest on EV sertifikaatide väljaandmiseks lubatud ainult sertifitseerimisasutused, mis annavad sõltumatu auditi. Sertifitseerimisorganite ja brauseriteenuste vabatahtlik organisatsioon, nagu Mozilla, Google, Apple ja Microsoft, sertifitseerimisasutus / brauserifoorum (CA / Browser Forum) avaldavad ranged juhised, millele peavad järgnema kõik sertifikaadi väljaandjad, kes väljastavad laiendatud valideerimistunnistusi. See ideaaljuhul takistab sertifitseerimisasutustel osaleda teise "altpoolt rassi", kus nad kasutavad madalamaid sertifikaate pakkuvatel kontrollimise tavadel.
Lühidalt, suunistes nõutakse, et sertifikaadiasutused kontrolliksid, kas sertifikaati taotlev organisatsioon on ametlikult registreeritud, et tal on kõnealune domeen ja et sertifikaati taotlev isik tegutseb organisatsiooni nimel. See hõlmab valitsuse dokumentide kontrollimist, domeeni omanikuga ühendust võtmist ja organisatsiooni kontakteerumist, et kontrollida, kas sertifikaati taotlev isik töötab organisatsiooni jaoks.
Seevastu ainult domeenisisene sertifikaadi kontroll võib tähendada ainult domeeni Whois-registrite pilti, et kontrollida, kas registreerija kasutab sama teavet. Selliste domeenide nagu "localhost" sertifikaatide väljaandmine tähendab, et mõned sertifikaadiasutused ei tee isegi seda suurt kinnitust. EV-sertifikaadid on põhimõtteliselt katse taastada usaldus tunnustatud asutuste vastu ja taastada nende roll tõkendite vastu võitlejate vastu.
