扩展验证SSL证书是否有效?

Modified on: Sun, 26 May 2019 10:40:02 +0800

每次更新SSL证书时,我的提供商都会尝试向我出售扩展验证证书。最大的区别是FireFox和Safari中的绿色地址栏的成本是四倍或五倍。

据推测,该优势(以及IE8或Chrome中未显示绿栏的原因)是对请求方的更深层次认证。但我可以发现Verisign自己的最低要求之间的实际差异很小(来自他们的CPS)所有SSL证书(第3.2.2节):

  

VeriSign至少应:
   •
  确定组织是否存在
  通过使用至少一个第三方
  身份证明服务或
  数据库,或者,
  组织文件由
  或提交适用的
  政府机构或主管
  确认存在的权威
  该组织,

  
  

•确认
  电话,确认邮件,
  或类似的程序
  证书申请人肯定
  有关组织的信息,
  该组织已授权
  证书申请表
  提交证书的人
  申请代表
  证书申请人有权
  这样做。当证书包括
  个人的名字
  授权代表
  组织,就业
  个人和他/她的权力
  代表本组织行事
  也应该得到确认。

  
  

凡是
  域名或电子邮件地址是
  包含在VeriSign证书中
  验证组织的权利
  将该域名用作
  完全合格的域名或
  电子邮件域名。

和EV要求(附录F14C):

  

(C)商业实体
  验证业务实体的合法存在和身份VeriSign根据申请人在申请中提交的名称验证实体是否从事业务。 VeriSign验证申请人的注册管辖区注册机构认可的申请人的正式法定名称与EV证书申请中的申请人姓名相匹配。 VeriSign记录了申请人注册管辖区中注册机构分配给申请人的特定注册号。如果注册机构未指定注册号,则将记录申请人的注册日期。此外,根据EV指南第14(b)(4)节验证与业务实体相关的主要个人的身份。

所以:

1)EV证书真的会激发用户之间的信任吗?

2)EV证书真的有助于打击phshing /欺诈/供应商列出的任何东西吗?

3)如果他们实际执行了最低要求,那么不包括所有EV的东西吗?我错过了什么?

作者:,sh-beta

最佳答案

六年过去了,现在是时候从2015年的角度重写这个傻逼(以及在商业CA领域的更多个人经历)。

首先,就EV证书激发信任而言,答案是(仍然)“不,不是真的”。 EV证书的独立研究并未显示出典型消费者的有意义影响。 Peter Gutmann的书,工程安全,主要是800一般来说,对CA的页面咆哮,它有很多参考EV证书在整个文本中影响安全用户行为的有效性,在题为“EV证书:PKI-me-harder”的章节中密度最高从第72页开始。

在论证的另一方面,从证明EV证书效力获得最大收益的各方(出售它们的CA)也无法提出任何令人信服的证据。我可以挖掘的“最佳”EV案例研究是有趣的长期无根据对任何有用的数据进行断言和可怜的短缺。

至于EV证书是否真的对欺诈行为有用,我会再次回到Peter Gutmann:

  

所谓的高保证或延长验证(EV)证书[...]的引言仅仅是将通常数量的嫌疑人数量增加两倍的情况 - 可能有人会对此印象深刻它,但对网络钓鱼的影响是微乎其微的,因为它没有解决网络钓鱼者正在利用的任何问题。

换句话说,你肯定并且肯定地知道,你正在与之沟通的网站是乌兹别克斯坦塔什干的“Honest Achmed's Drug Bazaar and Fishmarket,Inc”,并没有说明是否Achmed将使用您的信用卡详细信息和私人信息办理上下铺。 EV证书没有说明对组织的安全实践有用:虽然ashleymadison.com使用通配符DV证书,但它(并且是)完全有能力获得EV证书,如果他们一直在运行EV证书,那么每个人的私人peccadillos 仍然可以下载。

最后,对于它的价值,EV证书是在(某些)更多验证之后发布的,超出了对域验证(DV)或组织验证(OV)证书所做的验证。正在验证的内容实际上并不是那么重要,但您可以合理确定有人遇到了一些合理的麻烦,以使绿色栏中的组织看起来存在。

作者:,womble

相关问答

添加新评论