Chứng chỉ EV không cung cấp thêm bất kỳ cường độ mã hóa nào - thay vào đó, chứng chỉ EV cho biết xác minh mở rộng danh tính của trang web đã diễn ra. Chứng chỉ SSL chuẩn cung cấp rất ít xác minh danh tính của trang web.
Cách trình duyệt hiển thị chứng chỉ xác thực mở rộng
Trên trang web được mã hóa không sử dụng chứng chỉ xác thực mở rộng, Firefox cho biết trang web là "chạy bởi (không xác định)".
Vấn đề với chứng chỉ SSL
Nhiều năm trước, cơ quan cấp chứng chỉ được sử dụng để xác minh danh tính của trang web trước khi cấp chứng chỉ. Cơ quan cấp chứng chỉ sẽ kiểm tra xem doanh nghiệp yêu cầu chứng chỉ đã được đăng ký hay chưa, hãy gọi số điện thoại và xác minh rằng doanh nghiệp là hoạt động hợp pháp phù hợp với trang web.
Cuối cùng, các tổ chức phát hành chứng chỉ đã bắt đầu cung cấp chứng chỉ "chỉ dành cho miền". Đây là rẻ hơn, vì nó đã được làm việc ít hơn cho cơ quan cấp giấy chứng nhận để nhanh chóng kiểm tra xem người yêu cầu sở hữu một tên miền cụ thể (trang web).
Phishers cuối cùng đã bắt đầu tận dụng điều này. Người đánh lừa có thể đăng ký tên miền paypall.com và mua chứng chỉ chỉ dành cho miền. Khi người dùng kết nối với paypall.com, trình duyệt của người dùng sẽ hiển thị biểu tượng khóa chuẩn, mang lại cảm giác an toàn giả. Trình duyệt không hiển thị sự khác biệt giữa chứng chỉ chỉ dành cho miền và chứng chỉ liên quan đến xác minh rộng hơn về danh tính của trang web.
Niềm tin công khai trong các cơ quan cấp chứng chỉ để xác minh các trang web đã giảm - đây chỉ là một ví dụ về các cơ quan cấp chứng chỉ không thực hiện thẩm định của họ. Trong năm 2011, Electronic Frontier Foundation đã phát hiện ra rằng các cơ quan cấp chứng chỉ đã cấp hơn 2000 chứng chỉ cho “localhost” - một tên luôn đề cập đến máy tính hiện tại của bạn. (Nguồn) Trong tay kẻ xấu, một chứng chỉ như vậy có thể làm cho những cuộc tấn công trung gian dễ dàng hơn.
Chứng chỉ xác thực mở rộng khác nhau như thế nào
Chứng chỉ EV cho biết rằng tổ chức phát hành chứng chỉ đã xác minh rằng trang web được điều hành bởi một tổ chức cụ thể. Ví dụ, nếu một phisher cố gắng lấy chứng chỉ EV cho paypall.com, yêu cầu sẽ bị từ chối.
Không giống như chứng chỉ SSL tiêu chuẩn, chỉ các tổ chức phát hành chứng chỉ vượt qua kiểm toán độc lập mới được phép phát hành chứng chỉ EV. Diễn đàn chứng nhận / trình duyệt (CA / Browser Forum), một tổ chức tự nguyện của các nhà cung cấp chứng nhận và các nhà cung cấp trình duyệt như Mozilla, Google, Apple và Microsoft đưa ra các nguyên tắc nghiêm ngặt. Điều này lý tưởng ngăn các cơ quan cấp chứng chỉ tham gia vào "cuộc đua khác ở dưới cùng", nơi họ sử dụng các phương pháp xác minh lỏng lẻo để cung cấp các chứng chỉ rẻ hơn.
Tóm lại, các hướng dẫn yêu cầu các cơ quan cấp chứng chỉ xác minh tổ chức yêu cầu chứng chỉ được đăng ký chính thức, rằng nó sở hữu miền được đề cập và người yêu cầu chứng chỉ đang hành động thay mặt tổ chức. Điều này liên quan đến việc kiểm tra hồ sơ của chính phủ, liên hệ với chủ sở hữu tên miền và liên hệ với tổ chức để xác minh rằng người yêu cầu chứng chỉ hoạt động cho tổ chức.
Ngược lại, xác minh chứng chỉ chỉ dành cho miền chỉ có thể liên quan đến việc xem bản ghi của tên miền để xác minh rằng người đăng ký đang sử dụng cùng một thông tin. Việc cấp chứng chỉ cho các tên miền như "máy chủ cục bộ" ngụ ý rằng một số cơ quan cấp chứng chỉ thậm chí không thực hiện nhiều xác minh đó. Chứng chỉ EV về cơ bản là nỗ lực khôi phục niềm tin của công chúng vào cơ quan cấp chứng chỉ và khôi phục vai trò của họ với tư cách người gác cổng chống lại kẻ mạo danh.
