Каждый раз, когда требуется продлить сертификат SSL, мой провайдер пытается продать мне сертификат расширенной проверки. Большая разница - это зеленая адресная строка в FireFox и Safari, что в четыре или пять раз увеличивает стоимость.
Предположительно, преимущество (и причина того, что зеленая полоса не отображается в IE8 или Chrome) заключается в более глубокой аутентификации запрашивающей стороны. Но я могу обнаружить небольшую реальную разницу между собственными минимальными требованиями Verisign (из их CPS) для всех сертификатов SSL (раздел 3.2.2):
Как минимум, VeriSign должен:
• Определить, что организация существует, используя по крайней мере одну стороннюю службу подтверждения личности или базу данных, или, в качестве альтернативы, организационную документацию, выпущенную или поданную соответствующим государственным органом или компетентным органом, которая подтверждает существование организации,• Подтвердите по телефону, подтверждающей почте или аналогичной процедурой для соискателя сертификата определенную информацию об организации, что организация авторизовала заявку на сертификат, и что лицо, подающее заявку на сертификат от имени соискателя сертификата, уполномочено сделать это. . Если в сертификате указано имя физического лица в качестве уполномоченного представителя Организации, также должны быть подтверждены его / ее полномочия действовать от имени Организации.
Если доменное имя или адрес электронной почты включены в сертификат, VeriSign подтверждает право Организации использовать это доменное имя либо как полное доменное имя, либо как домен электронной почты.
и требования к электромобилю (Приложение F14C):
(C) Бизнес-субъекты
Для проверки юридического существования и идентичности Субъекта бизнеса VeriSign проверяет, что Субъект ведет бизнес под именем, указанным Заявителем в Заявлении. VeriSign проверяет, соответствует ли официальное название заявителя, признанное органом регистрации в юрисдикции регистрации заявителя, имени заявителя в запросе сертификата EV. VeriSign регистрирует конкретный уникальный регистрационный номер, присвоенный заявителю Регистрационным агентством в юрисдикции регистрации заявителя. Если Регистрационное агентство не присвоит Регистрационный номер, дата Регистрации Заявителя будет записана. Кроме того, личность Основного физического лица, связанного с Субъектом бизнеса, проверяется в соответствии с Разделом 14 (b) (4) Руководства по EV.
Так:
1) Действительно ли сертификаты электромобилей вызывают большее доверие среди пользователей?
2) Действительно ли сертификаты электромобилей помогают бороться с фшингом / мошенничеством / чем-либо, перечисленным поставщиками?
3) Если они действительно выполнили минимальное требование, разве это не включает в себя все вещи EV? Что мне не хватает?
Большинство ответов здесь покрыты обеими сторонами, но я подумал, что буду вмешиваться (хотя, поскольку я работаю на Thawte, меня также могут принять «с долей скептицизма»). EV SSL прекрасно работает для решения очень серьезной проблемы - проверки подлинности веб-сайтов и шифрования соединений между ними, что значительно сокращает фишинг, - но, как ни странно, большинство дискуссий не столько о том, работает он или нет, сколько о том, работает ли он. люди заметят. И из-за скептицизма, окружающего признание технологии потребителями, некоторые сайты отказались от EV - несмотря на то, что большинство ИТ-специалистов утверждают, что широко распространенное шифрование будет единственным способом поддерживать безопасный Интернет, и когда значительная часть что делает EV SSL в первую очередь, так это обучать потребителей, чтобы они могли различать поддельные и настоящие сайты (зеленая полоса URL и т. д.). Так что это загвоздка 22. Потребители никогда не научатся, если они не получат в свои руки такие технологии, как электромобили, и не узнают, что такие вещи, как висячие замки и центры сертификации, на самом деле не так уж недоступны для непрофессионала, но поскольку они недостаточно образованы, чтобы рассказать разница в настоящий момент EV избегается как денежная ловушка. Это досадно, потому что исследования показали, что электромобили могут уменьшить количество брошенных тележек для покупок и другие препятствия для конверсии (не только в исследовании VeriSign, но и в других независимых исследованиях сторонних разработчиков). И, конечно, всем нужно какое-то шифрование.
Мой совет: большинство компаний предлагают 30-дневную пробную версию электромобиля или что-то подобное. Попробуйте и, возможно, проведите несколько случайных опросов со своими клиентами, чтобы узнать, как они отреагируют. Это должно дать вам лучшее представление о том, является ли это хорошим вложением лично для вас.
Шесть лет прошло, и пришло время переписать этого лоха с точки зрения 2015 года (и еще много личного опыта в мире коммерческих центров сертификации).
Во-первых, что касается сертификатов электромобилей, вызывающих доверие, ответ (по-прежнему) «нет, не совсем». Независимые исследования сертификатов электромобилей просто не показывают значимого влияния на типичных потребителей. Книга Питера Гутмана, Инженерная безопасность, в основном представляет собой 800-страничную тираду против центров сертификации в целом, и в нем много ссылок на (не) эффективность сертификатов EV в влиянии на безопасное поведение пользователей по всему тексту, с наибольшей плотностью в разделе, озаглавленном «Сертификаты EV: PKI. -me-harder "начиная со страницы 72.
С другой стороны, стороны, которые больше всего выиграют от доказательства эффективности сертификатов EV (центры сертификации, которые их продают), также не могут представить никаких убедительных доказательств. В «лучший» сборник тематических исследований электромобилей Я мог бы раскопать до смешного много необоснованных утверждений и прискорбно мало каких-либо полезных данных.
Что касается того, действительно ли сертификаты EV делают что-нибудь полезное для борьбы с мошенничеством, я снова вернусь к Питеру Гутманну:
Введение [...] так называемых сертификатов с высоким уровнем достоверности или расширенной проверки (EV) - это просто случай округления вдвое большего числа подозреваемых - по-видимому, кого-то это впечатлит, но эффект от фишинга минимален, поскольку он не решает никаких проблем, которыми пользуются фишеры.
Иными словами, вы точно знаете, что сайт, с которым вы общаетесь, - это «Honest Achmed's Drug Bazaar and Fishmarket, Inc» из Ташкента, Узбекистан, ничего не говорит о том, собирается ли Ахмед чтобы возиться с данными вашей кредитной карты и личной информацией. Сертификат электромобиля также не говорит ничего полезного о методах безопасности организации: в то время как ashleymadison.com использует подстановочный сертификат DV, он (и был) полностью способен получить сертификат EV, и частные грешки каждого по-прежнему быть загружаемым, если они все это время использовали сертификат электромобиля.
Наконец, чего бы это ни стоило, сертификаты EV выдаются после (некоторой) дополнительной проверки, помимо того, что делается для сертификатов, подтвержденных доменом (DV) или проверенных организацией (OV). То, что проверяется, на самом деле не так уж важно, но вы можете разумно уверен, что кто-то приложил разумные усилия, чтобы организация, указанная в зеленой полосе, казалась существующей.
Идея заключалась в том, что центры сертификации будут тратить деньги, которые вы заплатили за сертификат, чтобы вы действительно были тем, кем вы себя называете, проверяя официальные записи и подобные забавные вещи. Вскоре они поняли, что могли бы заработать больше денег, если бы не проводили столько проверок, и многие просто проверяли, можете ли вы получать электронную почту на домен, для которого создаете сертификат. Затем группа людей собралась и сказала: «Ну, вы на самом деле не выполняете ту работу, которую должны были делать», а центры сертификации вернулись и сказали: «Хорошо, почему бы нам не создать сертификаты EV, что мы и сделаем. более строгие проверки, как мы изначально и предназначались », так что теперь у вас есть стандартные сертификаты и сертификаты EV, для которых были выполнены более строгие проверки личности. Браузер дает понять, что эти новые сертификаты разные, по-видимому, поэтому люди, купившие сертификат EV, могут почувствовать, что у них есть что-то стоящее за свои дополнительные деньги.
Но, в конце концов, большинство людей не имеют представления о безопасности или шифровании, и пока они видят замок, они считают, что они в безопасности. Да, сертификат EV лучше, но большинство людей не заметят разницы.
Для технических специалистов, я думаю, вы можете считать обычные сертификаты пригодными только для шифрования, а EV - как шифрование с лучшей аутентификацией.
Мы приобрели сертификат электромобиля. Я НИКОГДА не слышал, чтобы кто-нибудь говорил мне, что они рады, что он у нас есть. Я готов поспорить, что большинство интернет-пользователей введут всю свою информацию на незащищенный сайт и даже не заметят, безопасен он или нет.
Что ж, сложно сказать. Вероятно, большинство пользователей действительно не понимают разницу с обычными сертификатами, хотя зеленая полоса обычно будет заметна, и некоторые могут подумать, что это «безопаснее».
Здесь есть исследование: http://www.verisign.com/static/040655.pdf о влиянии сертификатов электромобилей на пользователей Интернета. Похоже, что в этом исследовании есть заметный эффект, например 59% пользователей заявили, что у них возникнут подозрения, если сайт, на котором раньше была зеленая адресная строка, перестал ее использовать.
Тем не менее, исследование заказано Verisign, так что относитесь к нему с недоверием.
Я бы сказал, что для большинства людей EV, вероятно, не имеет значения, но для тех, для кого это имеет значение, это будет момент в вашу пользу. Так что, если стоимость для вас не является непомерно высокой, купите ее.
Я не думаю, что кто-то когда-либо сознательно подумает упомянуть об этом вам, но раньше у нас было много клиентов, которые просили нас создать частные списки товаров на eBay, потому что им было безопаснее вести там бизнес. На самом деле мы работаем более 15 лет, являемся почти крупнейшим поставщиком нашего продукта в мире, но, тем не менее, у нас есть специализированный рынок, и поэтому мы не пользуемся большим спросом у новых клиентов.
Смысл электромобиля состоит в том, чтобы потребители знали, что вы не просто какой-то однодневный веб-сайт, созданный Джо Конманом, а, скорее, что вы настоящий бизнес, ведете бизнес регулярно, с известными и зарегистрированное местонахождение и личности. Для многих это не мелочь.
В конечном итоге, если EV работает, это будет несколько прозрачно, но это будет означать, что больше людей завершат свои покупки, потому что они будут чувствовать себя в большей безопасности (и это справедливо).