擴展驗證 SSL 證書是否有效?
每次 SSL 證書更新時,我的提供商都會嘗試向我出售擴展驗證證書。最大的不同是 FireFox 和 Safari 中的綠色地址欄,價格是原來的四倍或五倍。
據推測,好處(以及在 IE8 或 Chrome 中未顯示綠條的原因)是對請求方的更深入的身份驗證。但是我可以檢測到 Verisign 自己對所有 SSL 證書(第 3.2.2 節)的最低要求(來自他們的CPS)之間的實際差異很小:
威瑞信至少應:
• 通過使用至少一個第三方身份證明服務或數據庫,或者由相關政府機構或主管當局簽發或歸檔的確認組織存在的組織文件來確定組織的存在,
• 通過電話、確認郵件或類似程序向證書申請人確認有關組織的某些資訊,該組織已授權證書申請,並且代表證書申請人送出證書申請的人被授權這樣做. 當證書包括作為本組織授權代表的個人姓名時,該個人的僱用及其代表本組織行事的權力也應得到確認。
如果證書中包含域名或電子郵件地址,VeriSign 將驗證組織將該域名用作完全限定域名或電子郵件域的權利。
和 EV 要求(附錄 F14C):
(C) 商業實體
驗證商業實體的合法存在和身份 VeriSign 驗證該實體以申請人在申請中送出的名稱從事業務。VeriSign 會驗證申請人在申請人註冊轄區中的註冊機構認可的正式法定名稱與 EV 證書請求中的申請人名稱是否匹配。威瑞信記錄由註冊機構在申請人的註冊管轄區分配給申請人的特定唯一註冊號。登記機關未分配登記號的,以申請人的登記日期為準。此外,根據 EV 指南第 14(b)(4) 節驗證與商業實體相關的主要個人的身份。
所以:
EV 證書真的能激髮使用者更多的信任嗎?
EV 證書是否真的有助於打擊網路釣魚/欺詐/供應商列出的任何事情?
3)如果他們確實執行了最低要求,那不包括所有的電動汽車嗎?我錯過了什麼?
六年過去了,是時候從 2015 年的角度重寫這個傻瓜了(以及在商業 CA 領域的更多個人經驗)。
首先,就激發信任的 EV 證書而言,答案(仍然)是“不,不是真的”。對 EV 證書的獨立研究並未對典型消費者產生有意義的影響。Peter Gutmann 的書Engineering Security基本上是對 CA 的 800 頁咆哮,它在整個文本中大量提到了 EV 證書在影響安全使用者行為方面的(無效)有效性,在該部分中密度最高從第 72 頁開始,標題為“EV 證書:PKI-me-harder”。
另一方面,從證明 EV 證書有效性中獲益最多的各方(出售它們的 CA)也無法拿出任何令人信服的證據。我能探勘出的“最好”的電動汽車案例研究的集合是關於毫無根據的斷言和可悲地缺乏任何有用的數據。
至於 EV 證書是否真的對打擊欺詐有任何幫助,我將再次回到 Peter Gutmann:
簡介
$$ … $$所謂的高保證或擴展驗證 (EV) 證書$$ … $$只是一個將嫌疑人數量翻倍的案例——大概有人會對它印象深刻,但對網路釣魚的影響很小,因為它不能解決網路釣魚者正在利用的任何問題。
換句話說,您肯定知道您正在與之通信的網站是烏茲別克斯坦塔什幹的“Honest Achmed 的 Drug Bazaar and Fishmarket, Inc”,並沒有說明 Achmed 是否會去用您的信用卡詳細資訊和私人資訊做舖位。EV 證書也沒有說明任何關於組織安全實踐的有用資訊:雖然
ashleymadison.com使用萬用字元 DV 證書,但它(並且曾經)完全能夠獲得 EV 證書,並且每個人的私人 peccadillos仍然可以下載,如果他們’ d 一直在執行 EV 證書。最後,對於它的價值,EV 證書是在(一些)經過域驗證 (DV) 或組織驗證 (OV) 證書所做的更多驗證之後頒發的。正在驗證的內容實際上並不那麼重要,但您可以合理地確定某人已經付出了一些合理的麻煩,以使綠色欄中命名的組織看起來存在。