Забелязали ли сте някога, че браузърът ви понякога показва име на организация на уебсайт на шифрован уебсайт? Това е знак, че уебсайтът има разширен сертификат за валидност, който показва, че идентичността на уебсайта е потвърдена.
EV сертификатите не осигуряват никаква допълнителна сила на шифроване - вместо това, сертификатът за EV показва, че е извършена задълбочена проверка на самоличността на уебсайта. Стандартните SSL сертификати осигуряват много малка проверка на самоличността на уебсайта.
На шифрован уебсайт, който не използва разширен сертификат за валидиране, Firefox казва, че сайтът е "управляван от (неизвестен)".
Chrome не показва нищо различно и казва, че идентичността на уебсайта е потвърдена от сертифициращия орган, който е издал сертификата на уебсайта.
Когато сте свързани с уебсайт, който използва разширен сертификат за потвърждение, Firefox ви съобщава, че се управлява от конкретна организация. Според този диалог VeriSign потвърди, че сме свързани с истинския уебсайт на PayPal, който се управлява от PayPal, Inc.
Когато сте свързани с сайт, който използва сертификат за EV в Chrome, името на организацията се показва в адресната лента. Информационният диалог ни показва, че идентичността на PayPal е потвърдена от VeriSign, използвайки удължен сертификат за валидиране.
Преди години сертификационните органи са използвали да потвърдят самоличността на уебсайта преди да издадат сертификат. Сертифициращият орган ще провери дали фирмата, която иска сертификат, е била регистрирана, да се обади на телефонния номер и да потвърди, че бизнесът е легитимна операция, съответстваща на уебсайта.
В крайна сметка сертификационните органи започнаха да предлагат сертификати "само за домейни". Те бяха по-евтини, тъй като работата на сертифициращия орган бе по-малка, за да провери бързо дали заявителят притежава конкретен домейн (уебсайт).
Фишърс в крайна сметка започна да се възползва от това. Phisher може да регистрира домейна paypall.com и да закупи сертификат само за домейни. Когато потребителят е свързан към paypall.com, браузърът на потребителя ще покаже стандартната икона за заключване, осигурявайки фалшиво чувство за сигурност. Браузърите не показват разликата между сертификат само за домейн и сертификат, който включва по-широка проверка на самоличността на уебсайта.
Публичното доверие в сертифициращите органи за проверка на уеб сайтове е паднало - това е само един пример за това, че сертифициращите органи не успяват да направят своята due diligence. През 2011 г. Electronic Frontier Foundation установи, че сертифициращите органи са издали над 2000 сертификати за "localhost" - име, което винаги се отнася до текущия ви компютър. (Източник) В неправилни ръце такъв сертификат може да направи атаките "човек в средата" по-лесни.
Сертификатът за EV показва, че сертифициращият орган е потвърдил, че уебсайтът се управлява от конкретна организация. Например, ако phisher се опита да получи EV сертификат за paypall.com, искането ще бъде отхвърлено.
За разлика от стандартните SSL сертификати, само сертифициращите органи, които преминават независим одит, имат право да издават сертификати за EV. Фондът за сертифициране / браузър, доброволна организация на сертифициращи органи и доставчици на браузъри, като Mozilla, Google, Apple и Microsoft, издава строги указания, които трябва да следват всички сертифициращи органи, които издават разширени сертификати за валидност. Това в идеалния случай не позволява на сертифициращите органи да участват в друго "състезание до дъното", където използват неестествени практики за проверка, за да предлагат по-евтини сертификати.
Накратко, насоките изискват от сертифициращите органи да проверят дали организацията, поискала удостоверението, е официално регистрирана, че притежава съответния домейн и че лицето, поискало сертификата, действа от името на организацията. Това включва проверка на правителствените записи, свързване със собственика на домейна и връзка с организацията, за да се увери, че лицето, поискало удостоверението, работи за организацията.
Обратно, проверката на сертификат само за домейни може да включва само поглед към досиетата на домейна, за да се провери дали регистрантът използва същата информация. Издаването на сертификати за домейни като "localhost" означава, че някои сертифициращи органи дори не правят толкова много проверки. EV сертификатите са основен опит да се възстанови общественото доверие в сертифициращите органи и да се възстанови ролята им на охранители на противниците.