5Jul
Você já notou que seu navegador às vezes mostra o nome da organização de um site em um site criptografado? Este é um sinal de que o site possui um certificado de validação alargado, indicando que a identidade do site foi verificada. Os certificados
EV não oferecem qualquer força de criptografia adicional - em vez disso, um certificado EV indica que a verificação extensa da identidade do site ocorreu. Os certificados SSL padrão fornecem uma verificação muito pequena da identidade de um site.
Como os navegadores exibem certificados de validação estendidos
Em um site criptografado que não usa um certificado de validação estendida, o Firefox diz que o site é executado por( desconhecido).
O Chrome não exibe nada diferente e diz que a identidade do sitefoi verificado pela autoridade de certificação que emitiu o certificado do site.
Quando você está conectado a um site que usa um certificado de validação estendida, o Firefox diz que é executado por uma organização específica. De acordo com este diálogo, a VeriSign verificou que estamos conectados ao site real do PayPal, que é executado pelo PayPal, Inc.
Quando você está conectado a um site que usa um certificado EV no Chrome, o nome da organização aparece no seuBarra de endereço. A caixa de diálogo informa que a identidade do PayPal foi verificada pela VeriSign usando um certificado de validação estendido.
O problema com certificados SSL
Anos atrás, as autoridades de certificação usaram para verificar a identidade de um site antes de emitir um certificado. A autoridade de certificação verificaria se a empresa que solicita o certificado foi registrada, ligue para o número de telefone e verifique se a empresa era uma operação legítima que correspondia ao site.
Eventualmente, as autoridades de certificação começaram a oferecer certificados de "somente domínio".Estes eram mais baratos, uma vez que era menos trabalho para a autoridade de certificação verificar rapidamente que o solicitante possuía um domínio específico( site).
Phishers eventualmente começaram a aproveitar isso. Um phisher pode registrar o domínio paypall.com e comprar um certificado somente de domínio. Quando um usuário conectado a paypall.com, o navegador do usuário exibiria o ícone de bloqueio padrão, fornecendo uma falsa sensação de segurança. Os navegadores não exibiram a diferença entre um certificado somente de domínio e um certificado que envolveu uma verificação mais extensa da identidade do site.
A confiança pública nas autoridades de certificação para verificar os sites caiu - este é apenas um exemplo de autoridades de certificação que não realizaram a devida diligência. Em 2011, a Electronic Frontier Foundation descobriu que as autoridades de certificação emitiram mais de 2000 certificados para "localhost" - um nome que sempre se refere ao seu computador atual.(Fonte) Nas mãos erradas, tal certificado poderia facilitar os ataques do homem no meio.
Como certificados de validação estendidos são diferentes
Um certificado EV indica que uma autoridade de certificação verificou que o site é executado por uma organização específica. Por exemplo, se um phisher tentasse obter um certificado EV para paypall.com, o pedido seria recusado.
Ao contrário dos certificados SSL padrão, apenas as autoridades de certificação que passam uma auditoria independente podem emitir certificados EV.A Autoridade de Certificação / Fórum do Navegador( CA / Fórum do Navegador), uma organização voluntária de autoridades de certificação e fornecedores de navegador, como Mozilla, Google, Apple, e Microsoft emite diretrizes estritas que todas as autoridades de certificação que emitem certificados de validação estendida devem seguir. Isso idealmente impede que as autoridades de certificação se envolvam em outra "corrida para o fundo", onde usam práticas de verificação laxas para oferecer certificados mais baratos.
Em suma, as diretrizes exigem que as autoridades de certificação verifiquem que a organização que solicita o certificado está oficialmente registrada, que possui o domínio em questão e que a pessoa que solicita o certificado atua em nome da organização. Isso envolve verificar os registros do governo, entrar em contato com o proprietário do domínio e entrar em contato com a organização para verificar se a pessoa que solicita o certificado funciona para a organização.
Em contraste, uma verificação de certificado somente de domínio pode envolver apenas uma olhada no registro de whois do domínio para verificar se o registrante está usando as mesmas informações. A emissão de certificados para domínios como "localhost" implica que algumas autoridades de certificação não estão fazendo muita verificação. Os certificados EV são, fundamentalmente, uma tentativa de restabelecer a confiança pública nas autoridades de certificação e restaurar seu papel como gatekeepers contra impostores.
