EV sertifikatai nesuteikia jokių papildomų šifravimo stiprumo, o EV sertifikatas rodo, kad įvyko platus svetainės tapatybės patikrinimas. Standartiniai SSL sertifikatai labai mažai patikrina svetainės tapatybę.
Kaip naršyklės rodomi išplėstiniai patvirtinimo sertifikatai
Užkoduotoje svetainėje, kurioje nenaudojamas išplėstas patvirtinimo sertifikatas, "Firefox" teigia, kad svetainė yra "valdoma (nežinoma)".
Problema su SSL sertifikatais
Prieš keletą metų sertifikatų institucijos, naudojamos svetainės tapatumo patvirtinimui, prieš išduodamos sertifikatą. Sertifikavimo įstaiga patikrintų, ar sertifikatą užregistravusi įmonė užregistruota, paskambinti telefono numeriu ir patikrinti, ar įmonė yra teisėta operacija, atitinkanti svetainę.
Galų gale sertifikatų tarnybos pradėjo siūlyti "tik domeno" sertifikatus. Tai buvo pigesni, nes sertifikavimo institucijai buvo mažiau darbų, kad būtų galima greitai patikrinti, ar prašytojas turi tam tikrą domeną (svetainę).
Piktoriai galiausiai pradėjo pasinaudoti šia galimybe. "Phisher" galėtų užregistruoti domeną paypall.com ir įsigyti tik domeno sertifikatą. Kai vartotojas prijungtas prie "paypall.com", vartotojo naršyklėje bus rodoma standartinė užrakto piktograma, suteikiant klaidingą saugumo jausmą. Naršyklės nerodė skirtumo tarp tik domeno sertifikato ir sertifikato, kuriame buvo išsamiau tikrinama svetainės tapatybė.
Visuomenės pasitikėjimas sertifikatų institucijomis, kad patikrintų svetaines, sumažėjo - tai tik vienas iš sertifikatų institucijų pavyzdžių, kurie nesugeba atlikti deramo patikrinimo. 2011 m. "Electronic Frontier Foundation" nustatė, kad sertifikatų institucijos išdavė daugiau kaip 2000 "vietinio" serverio sertifikatų - pavadinimų, kurie visada nurodo jūsų dabartinį kompiuterį. (Šaltinis) Neteisingose rankose toks sertifikatas gali palengvinti išpuolius tarpusavyje.
Kaip išplėstos patvirtinimo pažymos skiriasi
EV sertifikatas nurodo, kad sertifikavimo institucija patvirtino, kad svetainę valdo konkreti organizacija. Pavyzdžiui, jei "phisher" bandė gauti "EV" sertifikatą "paypall.com", prašymas bus atmestas.
Skirtingai nuo standartinių SSL sertifikatų, tik sertifikato institucijos, perduodančios nepriklausomą auditą, gali išduoti EV sertifikatus. Sertifikavimo institucija / naršyklių forumas (CA / Browser forumas), savanoriškas sertifikavimo institucijų ir naršyklių paslaugų teikėjų, pvz., "Mozilla", "Google", "Apple" ir "Microsoft", organizavimas nustato griežtas gaires, kurių turi laikytis visos sertifikatų institucijos, išduodančios išplėstinius patvirtinimo sertifikatus. Tai idealiomis priemonėmis neleidžia sertifikatų institucijoms įsitraukti į kitą "lenktynes į apačią", kur jie naudojasi lengvais patikrinimais, kad galėtų pasiūlyti pigesnius sertifikatus.
Trumpai tariant, gairėse reikalaujama, kad sertifikatų institucijos patikrintų, ar organizacija, prašanti, kad sertifikatas būtų oficialiai įregistruotas, kad jis turi atitinkamą domeną ir kad asmuo, prašantis sertifikato, veiktų organizacijos vardu. Tai apima valdžios sektoriaus įrašų tikrinimą, susisiekimą su domeno savininku ir susisiekimą su organizacija, siekiant patikrinti, ar sertifikatą prašantis asmuo dirba organizacijai.
Priešingai, domeno tikrinto sertifikato patvirtinimas gali apsilankyti tik domeno whois įrašuose, kad patikrintų, ar registruotojas naudoja tą pačią informaciją. Sertifikatų išdavimas domenams, pvz., "Localhost", reiškia, kad kai kurios sertifikatų institucijos netgi ne tokie daug patikrina. EV sertifikatai iš esmės yra bandymas atkurti visuomenės pasitikėjimą sertifikatų tarnybomis ir atstatyti jų vaidmenį kaip apsauginius vartus nuo užpuolikų.
