Security

DV 和 EV/OV SSL 證書之間的實際區別?

  • July 24, 2021

當我從瀏覽器查看站點的 SSL 證書時,它總是在“頒發給”部分顯示該組織不是證書的一部分。

如果最終使用者無法獨立驗證我的組織(我假設瀏覽器現在可以為他們驗證),那麼擁有 OV/EV 證書的實際價值是什麼?是其他原因嗎?如果是這樣,是什麼?

我看到在撰寫本文時Comodo 說OV/EV 不僅在證書中顯示組織詳細資訊,而且:

除了安全掛鎖符號外,EV SSL 證書還通過在 Web 地址旁邊以綠色顯示經過身份驗證的公司名稱來啟動選定 Web 瀏覽器中的“綠色地址欄”。

對於大多數瀏覽器,我認為這兩種狀態都不是真的已經有幾年了。他們列出了一些其他好處,但這些似乎微不足道(“帶有 ComodoCA 信任標誌”——是否有很多證據表明最終使用者知道或關心這一點?)。


編輯:自從我發布我的問題後,我現在看到一些網站的證書中有一個組織:uk.yahoo.com(儘管顯示為“Oath Inc”)和www.bankofengland.co.uk。這顯然否定了我最初的觀點。但我認為我的主要問題仍然存在。奇怪的是Google不使用電動汽車。

OV/EV 證書將包含O(組織)、C(國家)等值(CA 聲明他們已驗證的部分內容),所有實際決定查看它的使用者都可以看到。

更詳細地說,如果我們看一下瀏覽器的兩個不同主要分支:

對於 Chrome (92)O :對於 EV,它直接顯示在您點擊掛鎖符號“頒發給: [ ]”時彈出的概覽中C(組織名稱和國家/地區)

對於 Firefox (90):對於 EV,它直接顯示在概覽中當您點擊掛鎖符號“證書頒發給: O”(組織名稱)時彈出

(問題中提到的“綠色地址欄”是指一個歷史 UI 元素,它基本上直接在地址欄中顯示上述資訊。)

對於 Chrome 和 Firefox:對於 EV 和 OU,如果您點擊查看實際證書並轉到“主題”部分,您將獲得有關該主題的聲明資訊的完整列表。O(組織)、OU(組織單位)、L(地區)、S(州/省)、C(國家/地區),可能包括其他任何內容。

所以它就在那裡,理論上任何最終使用者都可以檢查。這方面的問題是,在實踐中使用者很少真正看到它。我認為使用者看到 EV 證書摘要(有時

帶有 )的可能性略高,但即便如此,這也是一個真正的遠景。O``C

為了完整起見,這些證書中的任何一個都只包含 CA 已驗證的有關主題的值,這意味著對於 DV 證書,主題部分將沒有任何此類資訊,因為 CA 僅驗證了主題控制有問題的域名。DV 證書的有用部分實際上只是 SAN 部分,但這就是瀏覽器已經在為您驗證的部分,如果存在不匹配則拋出一個合適的部分。

引用自:https://serverfault.com/questions/1070497