当我从浏览器查看站点的 SSL 证书时,“颁发给”部分总是显示该组织不是证书的一部分。
如果最终用户无法独立验证我的组织(我认为浏览器现在可以为他们做到这一点),那么拥有 OV/EV 证书的实际价值是什么?是出于其他原因吗?如果是,是什么原因?
我看到在写这篇文章的时候科摩多 说OV/EV 不仅在证书中显示组织详细信息,而且:
除了安全挂锁符号之外,EV SSL 证书还会在选定的 Web 浏览器中激活“绿色地址栏”,在 Web 地址旁边以绿色显示经过验证的公司名称。
我认为这两种说法在近几年来对大多数浏览器来说都不成立。它们列出了一些其他好处,但这些好处似乎微不足道(“带有 ComodoCA Trust 徽标”——有多少证据表明最终用户知道或关心这一点?)。
编辑:自从我发布了我的问题后,我现在看到有些网站的证书中有一个组织:uk.yahoo.com(尽管显示为“Oath Inc”)和www.bankofengland.co.uk。这显然否定了我最初的观点。但我认为我的主要问题仍然存在。不过,谷歌不使用 EV 这一点令人好奇。
答案1
OV/EV 证书将包含O
(组织)、C
(国家)等值(CA 声明已验证的部分),所有实际决定查看它的用户都可以看到它们。
更详细地说,如果我们看一下浏览器的两个不同主要分支:
对于 Chrome (92):对于 EV,它会直接显示在单击挂锁符号时弹出的概览中“签发给:O
[ C
]”(组织名称和国家/地区)
对于 Firefox (90):对于 EV,它会直接显示在单击挂锁符号时弹出的概览中“证书颁发给:O
”(组织名称)
(问题中提到的“绿色地址栏”是指历史上的 UI 元素,它基本上直接在地址栏中显示上述信息。)
对于 Chrome 和 Firefox:对于 EV 和 OU,如果您点击查看实际证书并转到“主题”部分,您将获得有关该主题的完整声明信息列表。O
(组织)、OU
(组织单位)、L
(地区)、S
(州/省)、(国家/C
地区),可能包括的其他任何内容。
因此,所有内容都已存在,理论上任何最终用户都可以检查。这方面的问题是,实际上用户很少真正查看它。我认为用户看到 EV 证书摘要(有时带有 和)
的可能性略高,但即使这样也非常渺茫。O
C
为完整起见,这些证书仅包含已由 CA 验证的主题值,这意味着对于 DV 证书,主题部分将不包含任何此类信息,因为 CA 仅验证了主题控制相关域名。DV 证书的有用部分实际上只有 SAN 部分,但这是浏览器已为您验证的内容,如果出现不匹配,浏览器会发出警告。
答案2
我会让特洛伊·亨特的“扩展验证证书已(真的)失效“(2019 年 8 月)回答你的问题。较旧的文章所有例子都有图片,但总结一下:
EV 的唯一支持者似乎是那些销售它的人,或者是那些从一开始就不明白依赖缺乏积极视觉指标根本不是一个好主意的人。
– – 不再有 EV,绝大多数网络用户不再看到他们甚至不知道存在的东西!哦,当然,您仍然可以深入研究证书并查看实体名称,但谁真的会这样做呢?你和我,也许,但我们并不完全了解浏览器人口统计的核心。
只要 Comodo 能够利用该产品盈利,他们就可以自由地发表任何言论。
此外,犯罪分子还可以利用ComodoCA信托标志例如,在钓鱼网站上,他们已经触犯了法律,所以,这不会增加他们的罪孽负担。