SSL è Extended Validation più sicuro?

Non rendono la connessione più sicura in termini di crittografia difficile da interrompere, ma lo rendono più sicuro in quanto è meno probabile che un intruso sia in grado di ingannare una CA per emettere un certificato in errore.

Il livello di convalida consiste interamente nel guadagnare la fiducia dei tuoi utenti. Personalmente, faccio solo la convalida di base, ma questo è solo la convalida di un nome o di un dominio per la maggior parte del tempo. Sapere che sto effettivamente parlando al server www.iamevil.com non aiuta davvero a infondere fiducia. La convalida aziendale consente di fare in modo che il certificato utilizzi la ragione sociale e dimostra che sto parlando con una vera organizzazione. I risultati della convalida estesa nella barra verde vengono presentati sulla maggior parte dei browser indicando che vi è un alto grado di fiducia nell'identità della parte con cui stanno comunicando.

Un'autorità di certificazione dovrebbe verificare l'identità di chiunque richieda un certificato prima di emettere (firmare) quel certificato; un certificato contenente il nome www.example.com deve essere assegnato solo a un'entità che effettivamente "possiede" il dominio example.com . Un certificato di convalida esteso è un certificato in cui la CA ha effettuato la verifica dell'identità in modo più approfondito.

In teoria, questa convalida aggiuntiva rende più difficile per gli attaccanti ottenere certificati falsi per domini che non possiedono. In pratica, ciò non significa aumentare la sicurezza per due motivi:

1. Questa ulteriore convalida bloccherà gli attaccanti solo se gli utenti finali la applicano. Vale a dire, è possibile acquistare un certificato EV per il proprio server, ma l'hacker, presumibilmente, sarà in grado di imbrogliare la CA solo in un certificato falso non EV. E allora ? L'attaccante eseguirà il suo falso sito Web con il falso certificato non EV. Nulla è cambiato, a meno che l'utente finale (il povero ragazzo che sta per vedere il suo conto in banca sifonato) si assicuri che si connetta solo a un sito bancario certificato EV e si rifiuta di digitare la sua password se il suo browser non mostra il qualcosa di extra-verde. I veri utenti non lo fanno. Nella migliore delle ipotesi, la maggior parte degli utenti si asterrà se ricevono un avvertimento esplicito, rosso e spaventoso; ma aspettarsi che gli utenti reagiscano alla semplice mancanza di un rettangolo verde è troppo ottimista.

2. Il phishing, come è stato fatto oggi, non utilizza certificati falsi. Ottenere un certificato falso è troppo disturbo. Il 99% del phishing consiste nel mostrare un sito non SSL ( http:// , non https:// ) alla vittima e sperare che la vittima non se ne accorga. Funziona bene. Dopo tutto, se il phisher può saccheggiare i conti bancari di solo, diciamo, il 10% delle vittime più ingenui, allora ... il phisher diventa ancora ricco.

Peter Gutmann chiama i certificati EV un esempio del PKI-me-effetto più difficile ; la principale conseguenza è che la CA commerciale può addebitare di più per i certificati, in nome della migliore soluzione di un problema che non avevamo prima.

L'utente finale è l'elemento importante qui. Avrai bisogno di un certificato EV quando (se) gli utenti finali iniziano a richiedono l'elemento grafico verdastro, e spendono i loro soldi altrove se non lo vedono (e, a quel punto , non sarebbe ridicolo pretendere che i certificati EV aumentino effettivamente la sicurezza). Non vedo succedere cose del genere presto. A meno che i fornitori di browser non entrino in collusione con la grande CA commerciale per rendere il certificato non EV apparso rosso e spaventoso.

Come afferma AJ, non ha alcun impatto sul livello di crittografia, ma è inteso a proteggere il modello di fiducia su cui si basa SSL / TLS.

Per la maggior parte dei siti che utilizzano SSL, la considerazione prioritaria è il modo in cui questo viene percepito dai clienti. AFAIK non c'è alcuna differenza visibile tra i primi 2, ma EV aggiunge una cosa verde alla barra della posizione nella maggior parte dei browser. Non so se questo faccia davvero la differenza per gli utenti, non sorprendentemente le CA sostengono di averlo fatto, ma ho visto poche prove a sostegno di ciò. Ricordo di aver letto un documento di ricerca diversi anni fa, in cui gli investigatori hanno scoperto che più utenti pensavano che un sito fosse più sicuro se contenesse un'immagine di un lucchetto piuttosto che se fosse stata pubblicata su HTTPS.

Quindi il valore è nella percezione dell'utente.

Questo documento del 2007 dice che gli utenti non possono dire la differenza , mentre Geocerts afferma che un altro studio nel 2007 ha affermato che ha avuto un impatto.

Mi piacerebbe pensare che gli utenti siano sempre più sofisticati, e quindi è probabile che cambi nel tempo. Ma è necessario un po 'di ricerca sul dispositivo se c'è un vantaggio misurabile (o esegui un test A / B)

Un motivo meno noto SSL EV è più sicuro perché SSL EV non può essere falsificato installando una CA root canaglia nel sistema. Le CA radice affidabili per EV sono codificate nel browser.