EV-sertifikater gir ingen ekstra krypteringsstyrke - i stedet viser et EV-sertifikat at omfattende verifisering av nettstedets identitet har skjedd. Standard SSL-sertifikater gir svært lite verifisering av en nettside identitet.
Hvordan nettlesere viser utvidede valideringssertifikater
På et kryptert nettsted som ikke bruker et utvidet valideringssertifikat, sier Firefox at nettsiden er "drevet av (ukjent)".
Problemet med SSL-sertifikater
For mange år siden brukte sertifiseringsmyndighetene å verifisere et nettsteds identitet før de utstedte et sertifikat. Sertifikatmyndigheten vil kontrollere at virksomheten som ber om sertifikatet var registrert, ringe til telefonnummeret og bekreft at virksomheten var en legitim operasjon som matchet nettstedet.
Til slutt begynte sertifiseringsmyndighetene å tilby "domene-bare" sertifikater. Disse var billigere, da det var mindre arbeid for sertifikatmyndigheten å raskt sjekke at søkeren eide et bestemt domene (nettsted).
Phishers begynte å dra nytte av dette. En phisher kunne registrere domenet paypall.com og kjøpe et domene-eneste sertifikat. Når en bruker som er koblet til paypall.com, vil brukerens nettleser vise standard låsikonet, noe som gir en falsk følelse av sikkerhet. Nettlesere viste ikke forskjellen mellom et domene-bare sertifikat og et sertifikat som innebar en mer omfattende verifisering av nettstedets identitet.
Offentlig tillit til sertifiseringsmyndigheter for å verifisere nettsteder har falt - dette er bare ett eksempel på at sertifikatmyndighetene ikke klarer å gjøre sin due diligence. I 2011 fant Electronic Frontier Foundation at sertifikatmyndighetene hadde utstedt over 2000 sertifikater for "localhost" - et navn som alltid refererer til din nåværende datamaskin. (Kilde) I feil hender kan et slikt sertifikat gjøre man-i-midten-angrep lettere.
Hvor utvidede valideringssertifikater er forskjellige
Et EV-sertifikat indikerer at en sertifikatmyndighet har bekreftet at nettsiden drives av en bestemt organisasjon. For eksempel, hvis en phisher prøvde å få et EV-sertifikat for paypall.com, ville forespørselen bli avslått.
I motsetning til standard SSL-sertifikater, er det kun sertifikatmyndigheter som sender en uavhengig revisjon, som kan sende ut EV-sertifikater. Sertifiseringsinstansen / nettleserforumet (CA / Browser Forum), en frivillig organisasjon av sertifiseringsmyndigheter og nettleservirksomheter som Mozilla, Google, Apple og Microsoft utsteder strenge retningslinjer som alle sertifiseringsmyndigheter som utsteder utvidede valideringssertifikater må følge. Dette forhindrer ideelt sertifikatmyndighetene i å engasjere seg i et annet "løp til bunnen", der de bruker laxbekreftelsespraksis for å tilby billigere sertifikater.
Kort sagt krever retningslinjene at sertifiseringsmyndighetene bekrefter at organisasjonen som ber om sertifikatet er offisielt registrert, at den eier det aktuelle domenet, og at personen som ber om sertifikatet, handler på vegne av organisasjonen. Dette innebærer å sjekke regjeringer, kontakter domenets eier og kontakte organisasjonen for å bekrefte at personen som ber om sertifikatet, jobber for organisasjonen.
I kontrast kan en verifisering av domene kun sertifikat bare innebære et blikk på domenets whois-poster for å bekrefte at registranten bruker samme informasjon. Utstedelse av sertifikater for domener som "localhost" innebærer at noen sertifikatmyndigheter ikke engang gjør så mye verifisering. EV-sertifikater er i utgangspunktet et forsøk på å gjenopprette offentlig tillit til sertifiseringsmyndighetene og gjenopprette deres rolle som portvakt mot imposter.
