Az EV tanúsítványok nem nyújtanak további titkosítási erőt, hanem EV tanúsítvány azt jelzi, hogy a weboldal személyazonosságának kiterjedt ellenőrzése megtörtént. A szabványos SSL-tanúsítványok nagyon kevéssé igazolják a webhely személyazonosságát.
A böngészők a kibővített érvényesítési tanúsítványok megjelenítése
A titkosított weboldalon, amely nem használ kiterjesztett érvényesítési tanúsítványt, a Firefox azt mondja, hogy a webhely "fut (ismeretlen)".
Az SSL tanúsítványokkal kapcsolatos probléma
Évekkel ezelőtt a tanúsító hatóságok a tanúsítvány kiállítása előtt ellenőrizték a weboldal személyazonosságát. A tanúsító hatóság ellenőrizni fogja, hogy a tanúsítványt kérő vállalkozás regisztrálta-e, hívja-e a telefonszámot, és ellenőrizze, hogy a vállalkozás törvényes művelet volt-e, amely megfelelt a webhelynek.
Végül a tanúsító hatóságok "domain-only" tanúsítványokat ajánlottak fel. Ezek olcsóbbak voltak, mivel kevésbé volt a tanúsító hatóságnál végzett munka annak érdekében, hogy gyorsan ellenőrizze, hogy a kérelmező egy adott domainhez (weboldalhoz) tartozó-e.
A phisherek végül elkezdték kihasználni ezt. A phisher regisztrálhatja a domain paypall.com domainet, és megvásárolhatja a domain-only tanúsítványt. Amikor a felhasználó csatlakozik a paypall.com-hoz, a felhasználó böngészője megjelenítené a szabványos reteszelő ikont, ami hamis biztonságérzetet ad. A böngészők nem mutatták meg a különbséget a csak egy domain-tanúsítvány és a tanúsítvány között, amely szélesebb körű ellenőrzést végzett a webhely személyazonosságával kapcsolatban.
A bizalmasságot tanúsító hatóságok bizalmát a webhelyek igazolására csökkentette - ez csak egy példa arra, hogy a tanúsító hatóságok nem hajthatták végre a kellő gondosságot. 2011-ben az Electronic Frontier Foundation megállapította, hogy a tanúsító hatóságok több mint 2000 tanúsítványt bocsátottak ki a "localhost" -ra - olyan név, amely mindig a jelenlegi számítógépére vonatkozik. (Forrás) A rossz kezekben egy ilyen tanúsítvány könnyebbé teheti a "man-in-the-middle" támadást.
A kiterjesztett validációs tanúsítványok eltérőek
Az EV tanúsítvány azt jelzi, hogy egy tanúsító hatóság ellenőrizte, hogy a webhelyet egy adott szervezet végzi-e. Például ha egy phisher próbálta megkapni az EV-tanúsítványt a paypall.com-ra, akkor a kérést elutasítanák.
A szabványos SSL-tanúsítványokkal ellentétben csak a független könyvvizsgálatot átadó tanúsító hatóságok engedélyezhetik az EV tanúsítványok kiadását. A tanúsító hatóság / böngésző fórum (CA / böngésző fórum), a tanúsító hatóságok és a böngésző forgalmazók önkéntes szervezete, például a Mozilla, a Google, az Apple és a Microsoft szigorú iránymutatásokat ad ki, amelyeket a kiterjesztett érvényesítési tanúsítványokat kibocsátó tanúsító hatóságoknak követniük kell. Ez ideális esetben megakadályozza, hogy a tanúsító hatóságok vegyenek részt egy másik "versenyen az alulról", ahol lassú ellenőrzési módszereket alkalmaznak olcsóbb bizonyítványok nyújtására.
Röviden, az iránymutatások azt írják elő, hogy a tanúsító hatóságok ellenőrizzék, hogy a tanúsítványt kérő szervezet hivatalosan bejegyzett-e, hogy az a kérdéses domain tulajdonosa, és hogy a tanúsítványt kérő személy a szervezet nevében jár el. Ez magában foglalja a kormányzati nyilvántartások ellenőrzését, a domain tulajdonosával való kapcsolatfelvételt, és kapcsolatba lépve a szervezetgel annak ellenőrzésével, hogy a tanúsítványt kérő személy működik-e a szervezet számára.
Ezzel szemben a domain-csak tanúsítvány-ellenőrzés csak a domain Whois rekordjainak pillantásával járhat annak ellenőrzésére, hogy a regisztráló ugyanazokat az információkat használja-e. A "localhost" -hoz hasonló domainek tanúsítványainak kiadása azt jelenti, hogy egyes tanúsító hatóságok nem is csinálnak ilyen sok ellenőrzést. Az EV tanúsítványok alapvetően kísérletet tesznek arra, hogy a nyilvánosság bizalmát helyreállítsák a tanúsító hatóságokban, és visszaállítsák szerepüket bejáróként a csalókkal szemben.
