Quando visualizo o certificado SSL de um site a partir de um navegador, ele sempre diz na seção "Emitido para" que a organização não faz parte do certificado.
Se os usuários finais não puderem verificar minha organização de forma independente (suponho que o navegador agora faça isso por eles), qual é o valor prático de ter um certificado OV/EV? É por algum outro motivo? Se sim, o quê?
Vejo que, no momento em que escrevo , Comodo diz que não apenas o OV / EV mostra os detalhes da organização no certificado, mas:
Além do símbolo de cadeado seguro, os certificados EV SSL ativam a “barra de endereço verde” em alguns navegadores da web, exibindo o nome da empresa autenticada em verde ao lado do endereço da web.
Eu não acho que nenhuma das declarações seja verdadeira há cerca de dois anos para a maioria dos navegadores. Eles listam alguns outros benefícios, mas estes parecem marginais ("Vem com o logotipo ComodoCA Trust" - há muita evidência de que os usuários finais sabem ou se importam com isso?).
EDIT: Desde que postei minha pergunta, agora vejo que existem alguns sites que têm uma organização em seus certificados: uk.yahoo.com (embora mostrando como "Oath Inc") e www.bankofengland.co.uk . Isso obviamente nega meu ponto inicial. Mas acho que minha pergunta principal ainda está de pé. Curioso que o Google não use EV.
Vou deixar que os " Extended Validation Certificates are (Really, Really) Dead " de Troy Hunt (agosto de 2019) respondam à sua pergunta. O artigo mais antigo tem todos os exemplos com fotos, mas para resumir:
A Comodo é livre para declarar qualquer coisa enquanto tenta lucrar com este produto, desde que possa.
Além disso, os criminosos podem usar o logotipo do ComodoCA Trust , por exemplo, em um site de phishing, pois já estão infringindo a lei e, portanto, não acrescentaria muito ao fardo do pecado.
Um certificado OV/EV conteria os valores
O(Organização),C(País), etc (parte do que a CA declara ter validado), todos visíveis para qualquer usuário que realmente decida examiná-lo.Em mais detalhes, se olharmos para dois ramos principais diferentes de navegadores:
Para Chrome (92) : para EV, é exibido diretamente na visão geral que aparece quando você clica no símbolo de cadeado "Emitido para:
O[C]" (nome da organização e país)Para Firefox (90) : para EV, é exibido diretamente na visão geral que aparece quando você clica no símbolo de cadeado "Certificado emitido para:
O" (Nome da organização)(A "barra de endereço verde" mencionada na pergunta é uma referência a um elemento histórico da interface do usuário que mostrava essencialmente as informações acima diretamente na barra de endereço.)
Para Chrome e Firefox : para EV e OU, se você clicar para visualizar o certificado real e for para a seção "Assunto", você terá a lista completa de informações reivindicadas sobre o assunto.
O(Organização),OU(Unidade Organizacional),L(Localidade),S(Estado/Província),C(País), o que mais puder ser incluído.Portanto, está tudo lá e teoricamente pode ser inspecionado por qualquer usuário final. O problema a este respeito é que muito raramente é realmente visto pelos usuários na prática.
Suponho que há uma chance um pouco maior de que o resumo dos certificados EV (com
Oe às vezesC) seja visto por um usuário, mas mesmo isso é um tiro no escuro.E para completar, qualquer um desses certificados contém apenas os valores sobre o assunto que foram validados pela CA, o que significa que para os certificados DV, a seção de assunto não terá nenhuma dessas informações, pois a CA validou apenas que o assunto controla o nome de domínio em questão. A parte útil de um certificado DV seria realmente apenas a seção SAN, mas é isso que o navegador já está validando para você e fazendo um ajuste se houver uma incompatibilidade.