I certificati di convalida estesi hanno lo scopo di mostrare all'utente in modo più visibile l'istituto a cui sono stati rilasciati. Gli aspetti tecnici dei certificati stessi sono combinati con indizi visivi nell'interfaccia utente dell'applicazione che li verifica: la barra verde e un nome visibile accanto alla barra degli indirizzi nel browser.
Ad esempio, il certificato EV al link farà sì che il browser mostri una barra verde e visualizzi "PayPal, Inc." Vicino a esso. Questo è progettato non solo per collegare il certificato al proprietario del dominio (come fanno i certificati standard convalidati dal dominio), ma anche per collegarlo a un'istituzione più fisica (qui, PayPal, Inc.). Per fare ciò, la CA deve verificare che l'istituzione nominata sia effettivamente quella proprietaria del dominio.
In definitiva, si tratta di fare un collegamento più autenticato tra il nome del dominio e il nome della società piuttosto che creare certificati "più sicuri". Dal punto di vista della suite di crittografia (che è ciò che determina l'algoritmo di crittografia e le dimensioni della chiave), i certificati EV non sono diversi dai certificati DV (barra blu).
Facendo un passo indietro, è necessario rendersi conto che l'efficacia di HTTPS si basa sull'utente che controlla che sia usato correttamente. (Il server non ha modo di scoprire se il client è vittima di un attacco MITM, a meno che non utilizzi anche i certificati client.) Ciò significa che gli utenti devono:
- verifica che HTTPS venga utilizzato quando si aspetta che sia,
- controlla che non ci siano avvisi,
- controlla che il sito web che stanno utilizzando sia effettivamente quello che intendono visitare, il che porta a un paio di sotto-punti:
- controllando che si tratti del nome di dominio che si aspettano,
- controllando che il nome del dominio appartenga alla società che si aspettano.
I certificati EV hanno lo scopo di risolvere l'ultimo sotto-punto. Se sai già che amazon.com
appartiene ad Amazon.com, Inc. o che google.com
appartiene a Google Inc., non ne hai veramente bisogno.
Non sono personalmente convinto che questo approccio funzioni completamente, dal momento che possono essere utilizzati in modo scorretto (vedere l'esempio di NatWest / RBS di seguito) e alcune CA sembrano diffondere informazioni vaghe (e potenzialmente fuorvianti) su ciò che realmente sono, in un sforzo per promuoverli.
In generale, se i tuoi utenti già sanno che il tuo nome di dominio è tuo, non ne hai davvero bisogno.
Ecco ulteriori dettagli da una risposta precedente che ho dato a una domanda simile :
[...]
The domain-validated certificates guarantee you that the certificate
was issued to the owner of that domain. No more, but no less (I'm
assuming the validation procedure was correct here). In many cases,
this is sufficient. It all depends on whether the website you are
promoting needs to be linked to an institution that is already well
known off-line. Certificates that are validated against an
organisation (OV and EV certs) are mainly useful when you need to tie
the domain to a physical organisation too.
For example, it's useful for a institution that was initially known
via its building (e.g. Bank of America) to be able to say that a
certificate for bankofamerica.com
is indeed for the place where you've
given your physical money. In this case, it makes sense to use an OV
or EV certificate. This can also be useful is there is ambiguity
regarding which institution is behind the domain name (e.g. apple.com
and apple.co.uk
), which is even more important is the similar domain
name is owned by a rival/attacker using the name similarity for bad
purposes.
In contrast, www.google.com
is what defines Google to the public;
Google has no need to prove that google.com
belongs to the real
Google. As a result, it's using a domain-validated certificate (same
for amazon.com
).
Again, this is really useful if the user knows how to check this.
Browsers don't really help here. Firefox just says "which is run by
(unknown)" if you want more details about the cert at www.google.com
,
without really saying what is meant by this.
Extended-validation certificates are an attempt to improve this, by
making the organisation-validation procedure more strict, and by
making the result more visible: green bar and more visible
organisation.
Unfortunately, this is sometimes used in a way that increases
confusion, I think. Here is an example that you can check by yourself:
one of the large UK banks (NatWest) uses the https://www.nwolb.com/
for its on-line banking services. It's far from obvious that the
domain name belongs to NatWest (who also own the more logical
natwest.co.uk
name, by the way). Worse, the extended validation (if
you check the name next to the green bar) is done against "Royal Bank
of Scotland Group plc".
For those who follow financial news, it makes sense because both RBS
and NatWest belong to the same group, but technically, RBS and NatWest
are competitors (and both have branches on the high street in the UK
-- although that's going to change). If your user doesn't have that extra knowledge about which groups trade under which name, the fact
that a certificate is issued to the name of a potential competitor
should ring alarm bells. If, as a user, you saw a certificate on
gooooogle.com
issued to Microsoft or Yahoo, however green the bar is,
you should not treat this as Google's site.
One point to bear in mind with EV certificates is that their
configuration is hard-coded into the browsers. This is a compile-time
setting, which cannot be configured later on (unlike normal trusted
certificate stores, where you could add your own institutional CA
cert, for example). From a more cynical point of view, some could
consider this as a convenient way for the main players to keep a
strong position in the market.