每次 SSL 证书更新时,我的提供商都会尝试向我出售扩展验证证书。最大的不同是 FireFox 和 Safari 中的绿色地址栏,价格是原来的四倍或五倍。
据推测,好处(以及在 IE8 或 Chrome 中未显示绿条的原因)是对请求方的更深入的身份验证。但是我可以检测到 Verisign 自己对所有 SSL 证书(第 3.2.2 节)的最低要求(来自他们的CPS)之间的实际差异很小:
威瑞信至少应:
• 通过使用至少一个第三方身份证明服务或数据库,或者由相关政府机构或主管当局签发或归档的确认组织存在的组织文件,确定组织的存在,• 通过电话、确认邮件或类似程序向证书申请人确认有关组织的某些信息,该组织已授权证书申请,并且代表证书申请人提交证书申请的人被授权这样做. 当证书包括作为本组织授权代表的个人姓名时,该个人的雇用及其代表本组织行事的权力也应得到确认。
如果证书中包含域名或电子邮件地址,VeriSign 将验证组织将该域名用作完全限定域名或电子邮件域的权利。
和 EV 要求(附录 F14C):
(C) 商业实体
验证商业实体的合法存在和身份 VeriSign 验证该实体以申请人在申请中提交的名称从事业务。VeriSign 会验证申请人在申请人注册辖区中的注册机构认可的正式法定名称与 EV 证书请求中的申请人名称是否匹配。威瑞信记录由注册机构在申请人的注册管辖区分配给申请人的特定唯一注册号。登记机关未分配登记号的,以申请人的登记日期为准。此外,根据 EV 指南第 14(b)(4) 节验证与商业实体相关的主要个人的身份。
所以:
1) EV 证书真的能激发用户更多的信任吗?
2) EV 证书是否真的有助于打击网络钓鱼/欺诈/供应商列出的任何事情?
3)如果他们确实执行了最低要求,那不包括所有的电动汽车吗?我错过了什么?
六年过去了,是时候从 2015 年的角度重写这个傻瓜了(以及在商业 CA 领域的更多个人经验)。
首先,就激发信任的 EV 证书而言,答案(仍然)是“不,不是真的”。对 EV 证书的独立研究并未对典型消费者产生有意义的影响。Peter Gutmann 的书Engineering Security基本上是对 CA 的 800 页咆哮,它在整个文本中大量提到了 EV 证书在影响安全用户行为方面的(无效)有效性,在该部分中密度最高从第 72 页开始,标题为“EV 证书:PKI-me-harder”。
另一方面,从证明 EV 证书有效性中获益最多的各方(出售它们的 CA)也无法拿出任何令人信服的证据。我能挖掘出的“最好”的电动汽车案例研究的集合是关于毫无根据的断言和可悲地缺乏任何有用的数据。
至于 EV 证书是否真的对打击欺诈有任何帮助,我将再次回到 Peter Gutmann:
换句话说,您肯定知道,您正在与之通信的网站是乌兹别克斯坦塔什干的“Honest Achmed 的 Drug Bazaar and Fishmarket, Inc”,并没有说明 Achmed 是否要去用您的信用卡详细信息和私人信息做铺位。EV 证书也没有说明任何关于组织安全实践的有用信息:虽然
ashleymadison.com使用通配符 DV 证书,但它(并且曾经)完全能够获得 EV 证书,并且每个人的私人 peccadillos仍然可以下载,如果他们' d 一直在运行 EV 证书。最后,对于它的价值,EV 证书是在(一些)经过域验证 (DV) 或组织验证 (OV) 证书所做的更多验证之后颁发的。正在验证的内容实际上并不那么重要,但您可以合理地确定某人已经付出了一些合理的麻烦,以使绿色栏中命名的组织看起来存在。
这里的大多数答案都涵盖了双方,但我想我会加入(尽管,当我为 Thawte 工作时,我也可能会被“持保留态度”)。EV SSL 出色地解决了一个非常严重的问题——验证网站的身份并加密它们之间的连接,这大大减少了网络钓鱼——但奇怪的是,大多数讨论都较少关注它是否有效,而更多地关注是否有效人们会注意到。由于对消费者对该技术的认可持怀疑态度,一些网站选择退出电动汽车——尽管大多数 IT 专业人士都认为,广泛的加密将是维持互联网安全的唯一途径,EV SSL 最初所做的大部分工作是教育消费者,以便他们能够辨别假冒网站和真实网站(绿色网址栏等)。所以这是一个陷阱 22。消费者永远不会学习,除非他们掌握了像电动汽车这样的技术,并且知道像挂锁和 CA 之类的东西对于外行来说并不是那么难以接近,但是因为他们没有受过足够的教育来告诉避免将 EV 作为金钱陷阱的那一刻的差异。这是一种耻辱,因为研究表明,电动汽车可以减少废弃购物车的数量和其他转换障碍(不仅在 VeriSign 研究中,而且在其他独立的第三方研究中)。当然,每个人都需要某种加密。并了解像挂锁和 CA 之类的东西对于外行来说确实不是那么难以接近,但是因为他们没有受过足够的教育来区分在 EV 作为金钱陷阱被避免的那一刻。这是一种耻辱,因为研究表明,电动汽车可以减少废弃购物车的数量和其他转换障碍(不仅在 VeriSign 研究中,而且在其他独立的第三方研究中)。当然,每个人都需要某种加密。并了解像挂锁和 CA 之类的东西对于外行来说确实不是那么难以接近,但是因为他们没有受过足够的教育来区分在 EV 作为金钱陷阱被避免的那一刻。这是一种耻辱,因为研究表明,电动汽车可以减少废弃购物车的数量和其他转换障碍(不仅在 VeriSign 研究中,而且在其他独立的第三方研究中)。当然,每个人都需要某种加密。因为研究表明,电动汽车可以减少废弃购物车的数量和其他转换障碍(不仅在 VeriSign 研究中,而且在其他独立的第三方研究中)。当然,每个人都需要某种加密。因为研究表明,电动汽车可以减少废弃购物车的数量和其他转换障碍(不仅在 VeriSign 研究中,而且在其他独立的第三方研究中)。当然,每个人都需要某种加密。
我的建议:大多数公司都提供 30 天的 EV 试用或类似服务。尝试一下,也许可以对您的客户进行一些临时调查,看看他们的反应如何。这应该让您更好地了解这对您个人而言是否是一项好的投资。
这个想法是,证书颁发机构会花你为证书支付的钱,通过检查官方记录和类似的有趣事情,让你成为你所说的那个人。他们很快意识到,如果他们不做那么多检查,他们可以赚更多的钱,而且许多人只是检查您是否可以接收到您正在为其创建证书的域的电子邮件。然后一群人聚在一起说“好吧,你并没有真正做你应该做的工作”,CA 回来说“好吧,我们为什么不创建 EV 证书,我们会做的更严格的检查,就像我们原本打算的那样”,所以现在你有标准证书和 EV 证书,它们执行了更严格的身份检查。
但最后,大多数人对安全或加密一无所知,只要他们看到挂锁,他们就认为他们是安全的。是的,EV 证书更好,但大多数人不知道其中的区别。
对于技术人员,我认为您可以将普通证书视为仅适用于加密,而将 EV 视为具有更好身份验证的加密。
我们购买了 EV 证书。我从来没有人告诉我他们很高兴我们拥有它。我敢打赌,大多数互联网用户会在不安全的网站上输入他们的所有信息,甚至不会注意到它是否安全。
嗯,很难说。可能大多数用户并不真正了解与普通证书的区别,尽管通常会注意到绿色条,有些人可能会觉得它“更安全”。
这里有一项研究: http ://www.verisign.com/static/040655.pdf 关于 EV 证书对网络用户的影响。它似乎在该研究中产生了明显的影响,例如,59% 的用户表示,如果一个曾经有绿色地址栏的网站不再有绿色地址栏,他们会变得怀疑。
但是,这项研究是由 Verisign 委托进行的,因此请谨慎对待。
我想说的是,对于大多数人来说,EV 可能无关紧要,但对于那些有它的人来说,这将是对你有利的一点。因此,如果成本对您来说不是太高,那就买一个。
我认为没有人会有意识地想向您提及它,但我们曾经有很多客户会要求我们在 eBay 上为物品创建私人列表,因为他们觉得在那里做生意更安全。实际上,我们已经经营了 15 年以上,几乎是我们产品的全球最大供应商,然而,我们有一个专门的市场,因此没有得到新客户的认可。
电动汽车的意义在于让消费者知道您不仅仅是乔·康曼 (Joe Conman) 建立的一些不可靠的网站,而是您是一家真正的企业,以常规方式开展业务,拥有知名和注册的位置和身份。这对很多人来说都不是小事。
最终,如果 EV 有效,它会有点透明,但这意味着更多的人完成购买,因为他们觉得更安全(这是理所当然的)。