Практическая разница между DV и EV/OV SSL сертификатом?
Когда я просматриваю SSL-сертификат сайта через браузер, в разделе "Выдано для" всегда говорится, что организация не является частью сертификата.
Если конечные пользователи не могут самостоятельно проверить мою организацию (я предполагаю, что браузер теперь делает это за них), в чем практическая ценность наличия сертификата OV/EV? Есть ли в этом какая-то другая причина? Если да, то в чем?
Я вижу, что на момент написания статьи Comodo говорит, что OV/EV не только показывает информацию об организации в сертификате, но:
В дополнение к символу защищенного замка, EV SSL сертификаты активируют "зеленую адресную строку" в некоторых веб-браузерах, отображая название компании, прошедшей проверку подлинности, зеленым цветом рядом с веб-адресом.
Я не думаю, что оба эти утверждения верны уже пару лет для большинства браузеров. Они перечисляют некоторые другие преимущества, но они кажутся незначительными ("Поставляется с логотипом ComodoCA Trust Logo" - есть ли доказательства того, что конечные пользователи знают об этом или заботятся об этом?)
EDIT: С тех пор, как я опубликовал свой вопрос, я увидел, что есть некоторые сайты, которые имеют организацию в своих сертификатах: uk.yahoo.com (хотя и отображается как "Oath Inc") и www.bankofengland.co.uk. Это, очевидно, опровергает мою первоначальную точку зрения. Но я думаю, что мой главный вопрос остается в силе. Любопытно, что Google не использует EV.
Сертификат OV/EV будет содержать значения O (Организация), C (Страна) и т.д. (часть из которых, как утверждает ЦС, они подтвердили), и все это будет видно любому пользователю, который решит посмотреть на него.
Более подробно, если мы рассмотрим две различные основные ветви браузеров:
Для Chrome (92): для EV это показано непосредственно в обзоре, который всплывает при нажатии на символ замка "Issued to: O [C]" (Название организации и страна)
Для Firefox (90): для EV он отображается непосредственно в обзоре, который появляется при нажатии на символ замка "Certificate issued to: O" (название организации)
(Зеленая адресная строка, упомянутая в вопросе, относится к историческому элементу пользовательского интерфейса, который показывал по существу вышеуказанную информацию непосредственно в адресной строке)
Для Chrome и Firefox: для EV, а также OU, если вы щелкните для просмотра фактического сертификата и перейдете в раздел "Субъект", у вас будет полный список заявленной информации о субъекте. O (Организация), OU (Организационная единица), L (Местность), S (Штат/Провинция), C (Страна), все остальное, что может быть включено.
Итак, все это есть и теоретически может быть проверено любым конечным пользователем. Проблема в том, что на практике пользователи очень редко просматривают эту информацию.
Я полагаю, что есть немного больше шансов, что резюме для EV-сертификатов (с O и иногда C) увидит пользователь, но даже это очень маловероятно.
И для полноты картины, любой из этих сертификатов содержит только те значения о субъекте, которые были подтверждены CA, что означает, что для DV-сертификатов раздел субъекта не будет содержать никакой этой информации, поскольку CA подтвердил только то, что субъект контролирует данное доменное имя. Полезной частью DV-сертификата действительно будет только раздел SAN, но это то, что браузер уже проверяет за вас и бросается в глаза в случае несоответствия.
Я дам ответ на ваш вопрос " Сертификаты расширенной проверки (действительно, действительно) мертвые " Троя Ханта (август 2019 г.). В более старой статье есть все примеры с картинками, но резюмируем:
Единственными сторонниками электромобилей, похоже, были те, кто их продает, или те, кто не понимал, как полагаться на Отсутствие положительного визуального индикатора изначально никогда не было хорошей идеей.
- - больше нет EV, и подавляющее большинство пользователей Интернета больше не видят то, о чем они даже не подозревали! Конечно, вы все еще можете углубиться в сертификат и увидеть имя объекта, но кто на самом деле собирается это делать? Возможно, мы с вами, но мы не точно в составе демографии браузеров.
Comodo может заявлять что угодно, пытаясь получить прибыль с помощью этого продукта, пока это возможно.
Кроме того, преступники могут использовать логотип ComodoCA Trust , например, на фишинговом сайте, поскольку они уже нарушают закон и, следовательно, это не добавит им большого бремени греха.