Certifikáty EV neposkytujú žiadnu ďalšiu šifrovateľskú silu - namiesto toho EV certifikát označuje, že sa uskutočnilo rozsiahle overenie totožnosti webových stránok. Štandardné SSL certifikáty poskytujú veľmi málo overenia totožnosti webových stránok.
Ako prehliadače zobrazujú rozšírené overovacie certifikáty
Na šifrovanej webovej lokalite, ktorá nepoužíva rozšírený certifikát na overenie, spoločnosť Firefox hovorí, že webové stránky sú "spustené (neznáme)."
Problém s certifikátmi SSL
Pred niekoľkými rokmi osvedčujúce orgány overili totožnosť webovej lokality pred vydaním certifikátu. Certifikačná autorita by skontrolovala, či bola zaregistrovaná firma, ktorá žiada o certifikát, zavolala na telefónne číslo a overila, či ide o legitímnu operáciu, ktorá zodpovedala webovej stránke.
Nakoniec certifikačné autority začali ponúkať certifikáty "iba pre domény". Tieto boli lacnejšie, pretože pre certifikačnú autoritu bolo menej práce, aby rýchlo skontrolovali, či žiadateľ vlastní konkrétnu doménu (webovú stránku).
Phishers nakoniec začali využívať toto. Phisher by mohol zaregistrovať doménu paypall.com a zakúpiť certifikát len pre doménu. Keď používateľ pripojený na paypall.com, prehliadač používateľa zobrazí štandardnú ikonu zámku, čím poskytne falošný pocit bezpečia. Prehliadače nezobrazili rozdiel medzi certifikátom iba doménou a certifikátom, ktorý zahŕňal rozsiahlejšie overenie totožnosti webových stránok.
Verejná dôvera v certifikačné autority na overenie webových stránok klesla - je to len jeden príklad, keď certifikačné úrady nedokázali vykonať svoju náležitú starostlivosť. V roku 2011 spoločnosť Electronic Frontier Foundation zistila, že certifikačné autority vydali viac ako 2000 certifikátov pre "localhost" - meno, ktoré vždy odkazuje na váš aktuálny počítač. (Zdroj) V nesprávnych rukách by takéto osvedčenie mohlo uľahčiť útoky typu man-in-the-middle.
Ako rozšírené overovacie osvedčenia sú odlišné
V certifikáte EV sa uvádza, že certifikačná autorita overila, že webové stránky prevádzkuje konkrétna organizácia. Napríklad, ak sa phisher pokúsil získať certifikát EV pre paypall.com, požiadavka bude odmietnutá.
Na rozdiel od štandardných certifikátov SSL môžu vydať EV certifikáty len certifikačné autority, ktoré prejdú nezávislým auditom. Certifikačná autorita / fórum prehliadača (CA / Fórum prehliadača), dobrovoľná organizácia certifikačných autorít a dodávatelia prehliadačov, ako sú Mozilla, Google, Apple a Microsoft vydávajú prísne pokyny, ktoré musia dodržiavať všetky certifikačné autority vydávajúce rozšírené certifikáty validácie. To v ideálnom prípade zabraňuje tomu, aby certifikačné autority začali konať iným "pretekom dole", kde používajú laxné verifikačné postupy na ponúkanie lacnejších certifikátov.
Stručne povedané, v usmerneniach sa požaduje, aby certifikačné autority overili, že organizácia žiadajúca o certifikát je úradne zaregistrovaná, že vlastní danú doménu a že osoba, ktorá žiada o certifikát, koná v mene organizácie. Zahŕňa kontrolu vládnych záznamov, kontaktovanie vlastníka domény a kontaktovanie organizácie s cieľom overiť, či osoba, ktorá požaduje certifikát, pracuje pre organizáciu.
Na druhej strane verifikácia certifikátu len doménou môže zahŕňať len pohľad na záznamy, ktoré majú doménu, aby overili, či registrujúci používa rovnaké informácie. Vydávanie certifikátov pre domény ako "localhost" znamená, že niektoré certifikačné autority dokonca ani nekonajú toľko overenia. EV certifikáty sú v podstate pokusom o obnovenie dôvery verejnosti v certifikačné autority a obnovenie ich úlohy brány proti vylúčením.
