每次 SSL 证书需要续订时,我的提供商都会试图向我推销扩展验证证书。最大的区别在于 FireFox 和 Safari 中的绿色地址栏价格是后者的四倍或五倍。
据称,其好处(以及 IE8 或 Chrome 中未显示绿色条的原因)是请求方的更深层次身份验证。但我察觉不到 Verisign 自己的最低要求(来自他们的中央公共服务) 适用于所有 SSL 证书(第 3.2.2 节):
VeriSign 至少应:
• 使用至少一个第三方身份验证服务或数据库,或者由相关政府机构或主管部门颁发或提交的确认该组织存在的组织文件,确定该组织的存在,• 通过电话、确认邮件或类似程序向证书申请人确认有关该组织的某些信息,确认该组织已授权证书申请,并且代表证书申请人提交证书申请的人已获得授权。当证书中包含个人作为该组织的授权代表的姓名时,还应确认该个人的就业情况及其代表该组织行事的权限。
当证书中包含域名或电子邮件地址时,VeriSign 会验证组织使用该域名作为完全合格域名或电子邮件域的权利。
和 EV 要求(附录 F14C):
(C) 商业实体
为验证商业实体的合法存在和身份,VeriSign 将验证该实体是否以申请人在申请中提交的名称开展业务。VeriSign 将验证申请人注册管辖区内的注册机构认可的申请人正式法定名称是否与 EV 证书请求中的申请人名称相符。VeriSign 将记录申请人注册管辖区内的注册机构分配给申请人的特定唯一注册号。如果注册机构未分配注册号,则将记录申请人的注册日期。此外,将根据 EV 指南第 14(b)(4) 节验证与商业实体相关的主要个人的身份。
所以:
1)EV 证书是否真的能赢得用户更多的信任?
2)EV 证书真的有助于打击网络钓鱼/欺诈/供应商列出的任何东西吗?
3) 如果他们确实满足了最低要求,那么这不包括所有 EV 内容吗?我遗漏了什么?
答案1
六年过去了,是时候从 2015 年的角度(以及在商业 CA 领域的更多个人经验)重写这篇文章了。
首先,就 EV 证书能否激发信任而言,答案(仍然)是“不,不是真的”。对 EV 证书的独立研究并没有显示其对普通消费者产生有意义的影响。Peter Gutmann 的书,工程安全,主要是一篇长达 800 页的针对 CA 的长文,文中多次提到 EV 证书在影响安全用户行为方面的 (无) 有效性,其中密度最高的是第 72 页开始的题为“EV 证书:PKI-me-harder”的部分。
另一方面,从证明 EV 证书有效性中获益最多的一方(销售证书的 CA)也无法拿出任何令人信服的证据。电动汽车案例研究“最佳”合集我所能挖掘出的却是长篇大论的毫无根据的断言,以及极其缺乏的任何有用数据。
至于 EV 证书是否真的有助于打击欺诈,我将再次回顾 Peter Gutmann 的观点:
引入所谓的高保证或扩展验证(EV)证书[...]只不过是将嫌疑人的数量增加一倍而已——想必某些人会对此印象深刻,但它对网络钓鱼的影响微乎其微,因为它并没有解决网络钓鱼者正在利用的任何问题。
换句话说,您肯定知道您正在与之通信的网站是乌兹别克斯坦塔什干的“诚实的阿赫迈德药品集市和鱼市公司”,但这并不意味着阿赫迈德是否会利用您的信用卡详细信息和私人信息进行欺诈。EV 证书还没有说明该组织的安全实践:虽然ashleymadison.com
使用通配符 DV 证书,但它完全能够获得 EV 证书,而且每个人的私人小过失都会仍然如果他们一直在运行 EV 证书,则可以下载。
最后,值得一提的是,EV 证书是在经过(一些)比域验证 (DV) 或组织验证 (OV) 证书更多的验证之后颁发的。验证的内容实际上并不那么重要,但您可以合理地确信有人已经不遗余力地使绿色条中所列的组织看起来确实存在。
答案2
这里的大多数答案都涵盖了双方的观点,但我想我还是要插嘴一下(尽管,因为我在 Thawte 工作,所以我可能也会被“半信半疑”地对待)。EV SSL 出色地解决了一个非常严重的问题——验证网站的身份并加密它们之间的连接,从而大大减少了网络钓鱼——但奇怪的是,大多数讨论的重点不是它是否有效,而是人们是否会注意到。由于消费者对该技术的认知度存在怀疑,一些网站选择退出 EV——尽管大多数 IT 专业人士认为,广泛的加密将是维护互联网安全的唯一方法,而 EV SSL 所做的大部分工作首先是教育消费者,使他们能够辨别假冒网站和真实网站(绿色网址栏等)。所以这是一个两难的局面。除非消费者能够接触到 EV 之类的技术,并了解到挂锁和 CA 之类的东西对于普通人来说其实并不是那么难以获得,否则他们永远不会了解,但由于他们目前还没有足够的知识来区分两者,因此他们避免将 EV 视为金钱陷阱。这很遗憾,因为研究表明 EV 可以减少购物车被遗弃的数量和其他转化障碍(不仅在 VeriSign 的研究中,而且在其他独立的第三方研究中也是如此)。当然,每个人都需要某种加密。
我的建议是:大多数公司都会提供 30 天的 EV 试用期或类似服务。您可以试用一下,也可以对您的客户进行一些非正式调查,看看他们的反应如何。这应该可以让您更好地了解这对您个人而言是否是一项不错的投资。
答案3
这个想法是,证书颁发机构会花费您为证书支付的费用,通过检查官方记录和类似有趣的事情来证明您确实是您所说的那个人。他们很快意识到,如果他们不进行那么多检查,他们可以赚更多的钱,而且许多人只是检查您是否可以收到您为其创建证书的域的电子邮件。然后一群人聚在一起说“好吧,你并没有真正做你应该做的工作”,CA 回来后说“好吧,我们为什么不创建 EV 证书,我们会对其进行更严格的检查,就像我们最初打算做的那样”,所以现在你有了标准证书和 EV 证书,它们已经进行了更严格的身份检查。浏览器清楚地表明这些新证书是不同的,大概是为了让购买 EV 证书的人觉得他们花的钱物有所值。
但最终,大多数人对安全或加密一无所知,只要看到挂锁,他们就认为是安全的。是的,EV 证书更好,但大多数人不知道其中的区别。
对于技术人员来说,我认为您可以将普通证书视为仅适用于加密,而将 EV 视为具有更好的身份验证的加密。
答案4
嗯,很难说。可能大多数用户并不真正理解与常规证书的区别,尽管通常会注意到绿色条,有些人可能会觉得它“更安全”。
这里有一项研究: http://www.verisign.com/static/040655.pdf 关于 EV 证书对网络用户的影响。该研究似乎产生了明显的影响,例如,59% 的用户表示,如果某个网站曾经有绿色地址栏,而现在不再有绿色地址栏,他们就会产生怀疑。
然而,该项研究是由 Verisign 委托进行的,因此对其结果持怀疑态度。
我想说,对于大多数人来说,电动汽车可能并不重要,但对于那些需要电动汽车的人来说,电动汽车对你来说是一个优势。所以,如果价格不贵,就买一辆吧。