Quali sono i vantaggi del certificato EV?

I certificati di convalida estesi hanno lo scopo di mostrare all'utente in modo più visibile l'istituto a cui sono stati rilasciati. Gli aspetti tecnici dei certificati stessi sono combinati con indizi visivi nell'interfaccia utente dell'applicazione che li verifica: la barra verde e un nome visibile accanto alla barra degli indirizzi nel browser.

Ad esempio, il certificato EV al link farà sì che il browser mostri una barra verde e visualizzi "PayPal, Inc." Vicino a esso. Questo è progettato non solo per collegare il certificato al proprietario del dominio (come fanno i certificati standard convalidati dal dominio), ma anche per collegarlo a un'istituzione più fisica (qui, PayPal, Inc.). Per fare ciò, la CA deve verificare che l'istituzione nominata sia effettivamente quella proprietaria del dominio.

In definitiva, si tratta di fare un collegamento più autenticato tra il nome del dominio e il nome della società piuttosto che creare certificati "più sicuri". Dal punto di vista della suite di crittografia (che è ciò che determina l'algoritmo di crittografia e le dimensioni della chiave), i certificati EV non sono diversi dai certificati DV (barra blu).

Facendo un passo indietro, è necessario rendersi conto che l'efficacia di HTTPS si basa sull'utente che controlla che sia usato correttamente. (Il server non ha modo di scoprire se il client è vittima di un attacco MITM, a meno che non utilizzi anche i certificati client.) Ciò significa che gli utenti devono:

• verifica che HTTPS venga utilizzato quando si aspetta che sia,
• controlla che non ci siano avvisi,
• controlla che il sito web che stanno utilizzando sia effettivamente quello che intendono visitare, il che porta a un paio di sotto-punti:
  • controllando che si tratti del nome di dominio che si aspettano,
  • controllando che il nome del dominio appartenga alla società che si aspettano.

I certificati EV hanno lo scopo di risolvere l'ultimo sotto-punto. Se sai già che amazon.com appartiene ad Amazon.com, Inc. o che google.com appartiene a Google Inc., non ne hai veramente bisogno.

Non sono personalmente convinto che questo approccio funzioni completamente, dal momento che possono essere utilizzati in modo scorretto (vedere l'esempio di NatWest / RBS di seguito) e alcune CA sembrano diffondere informazioni vaghe (e potenzialmente fuorvianti) su ciò che realmente sono, in un sforzo per promuoverli.

In generale, se i tuoi utenti già sanno che il tuo nome di dominio è tuo, non ne hai davvero bisogno.

Ecco ulteriori dettagli da una risposta precedente che ho dato a una domanda simile :

[...]

The domain-validated certificates guarantee you that the certificate was issued to the owner of that domain. No more, but no less (I'm assuming the validation procedure was correct here). In many cases, this is sufficient. It all depends on whether the website you are promoting needs to be linked to an institution that is already well known off-line. Certificates that are validated against an organisation (OV and EV certs) are mainly useful when you need to tie the domain to a physical organisation too.

For example, it's useful for a institution that was initially known via its building (e.g. Bank of America) to be able to say that a certificate for bankofamerica.com is indeed for the place where you've given your physical money. In this case, it makes sense to use an OV or EV certificate. This can also be useful is there is ambiguity regarding which institution is behind the domain name (e.g. apple.com and apple.co.uk), which is even more important is the similar domain name is owned by a rival/attacker using the name similarity for bad purposes.

In contrast, www.google.com is what defines Google to the public; Google has no need to prove that google.com belongs to the real Google. As a result, it's using a domain-validated certificate (same for amazon.com).

Again, this is really useful if the user knows how to check this. Browsers don't really help here. Firefox just says "which is run by (unknown)" if you want more details about the cert at www.google.com, without really saying what is meant by this.

Extended-validation certificates are an attempt to improve this, by making the organisation-validation procedure more strict, and by making the result more visible: green bar and more visible organisation.

Unfortunately, this is sometimes used in a way that increases confusion, I think. Here is an example that you can check by yourself: one of the large UK banks (NatWest) uses the https://www.nwolb.com/ for its on-line banking services. It's far from obvious that the domain name belongs to NatWest (who also own the more logical natwest.co.uk name, by the way). Worse, the extended validation (if you check the name next to the green bar) is done against "Royal Bank of Scotland Group plc".

For those who follow financial news, it makes sense because both RBS and NatWest belong to the same group, but technically, RBS and NatWest are competitors (and both have branches on the high street in the UK -- although that's going to change). If your user doesn't have that extra knowledge about which groups trade under which name, the fact that a certificate is issued to the name of a potential competitor should ring alarm bells. If, as a user, you saw a certificate on gooooogle.com issued to Microsoft or Yahoo, however green the bar is, you should not treat this as Google's site.

One point to bear in mind with EV certificates is that their configuration is hard-coded into the browsers. This is a compile-time setting, which cannot be configured later on (unlike normal trusted certificate stores, where you could add your own institutional CA cert, for example). From a more cynical point of view, some could consider this as a convenient way for the main players to keep a strong position in the market.

Si suppone che forniscano ulteriore fiducia all'utente che l'autorità di certificazione ha svolto correttamente il proprio lavoro. Lo scopo principale dei certificati di convalida estesa, tuttavia, è proprio quello di generare entrate extra per le autorità di certificazione.

Ok, abbastanza snarky, in pratica devono seguire queste linee guida prima di emetterne una: Linee guida per i certificati EV v.1.3 . Riguarda cose come richiedere la verifica della registrazione e dell'indirizzo della società / organizzazione, e per ottenere l'accesso alle chiavi di firma è necessaria l'autenticazione a due fattori e tutte sono registrate meticolosamente.