Score:0

ความแตกต่างในทางปฏิบัติระหว่างใบรับรอง SSL ของ DV และ EV/OV?

ธง ir

เมื่อฉันดูใบรับรอง SSL ของไซต์จากเบราว์เซอร์ จะมีข้อความแสดงในส่วน "ออกให้" เสมอว่าองค์กรนั้นไม่ได้เป็นส่วนหนึ่งของใบรับรอง

หากผู้ใช้ปลายทางไม่สามารถยืนยันองค์กรของฉันได้อย่างอิสระ (ฉันถือว่าตอนนี้เบราว์เซอร์ทำเพื่อพวกเขาแล้ว) ค่าจริงของการมีใบรับรอง OV/EV คืออะไร เป็นเพราะสาเหตุอื่นหรือไม่? ถ้าอย่างนั้นล่ะ?

ฉันเห็นว่าในขณะที่เขียน โคโมโดกล่าว OV/EV ไม่เพียงแสดงรายละเอียดองค์กรในใบรับรองเท่านั้น แต่ยัง:

นอกจากสัญลักษณ์แม่กุญแจที่ปลอดภัยแล้ว ใบรับรอง EV SSL ยังเปิดใช้งานอีกด้วย âแถบที่อยู่สีเขียวâ ในบางเว็บเบราว์เซอร์โดยการแสดง ชื่อบริษัทที่ผ่านการตรวจสอบแล้วเป็นสีเขียวติดกับที่อยู่เว็บ

ฉันไม่คิดว่า statemet อย่างใดอย่างหนึ่งเป็นจริงมาประมาณสองสามปีแล้วสำหรับเบราว์เซอร์ส่วนใหญ่ พวกเขาแสดงรายการผลประโยชน์อื่น ๆ แต่สิ่งเหล่านี้ดูเล็กน้อย ("มาพร้อมกับโลโก้ ComodoCA Trust" - มีหลักฐานมากมายที่แสดงว่าผู้ใช้ปลายทางทราบหรือสนใจเกี่ยวกับเรื่องนี้หรือไม่)


แก้ไข: เนื่องจากฉันโพสต์คำถามของฉัน ตอนนี้ฉันเห็นว่ามีบางไซต์ที่มีองค์กรในใบรับรอง: uk.yahoo.com (แม้ว่าจะแสดงเป็น "Oath Inc") และ www.bankofengland.co.uk. เห็นได้ชัดว่าเป็นการลบล้างจุดเริ่มต้นของฉัน แต่ฉันคิดว่าคำถามหลักของฉันยังคงอยู่ สงสัยว่า Google ไม่ใช้ EV

dave_thompson_085 avatar
jp flag
สำหรับใครที่ไม่รู้ Yahoo ถูกซื้อกิจการโดย Verizon ซึ่งรวมกับ AOL และ HuffPost เป็นบริษัทลูกชื่อ Oath และตอนนี้กำลังพยายามขายสิ่งนั้น ดังนั้นการตั้งชื่อสำหรับตอนนี้ การตรวจสอบความถูกต้องขององค์กรที่ดำเนินการเว็บไซต์จะมีประโยชน์ก็ต่อเมื่อองค์กรนั้นดำรงอยู่นานพอที่ผู้คนจะจดจำได้ ซึ่งในธุรกิจสมัยใหม่เริ่มหายากขึ้นทุกที :-) การไม่ใช้งานของ Google นั้นไม่ค่อยน่าสงสัยนัก เพราะ Google กำลังทำงานเพื่อ _downplay_ EV ใน Chrome; ดู https://security.stackexchange.com/questions/52387/does-google-use-extended-validation-certificates
Score:2
ธง jp

ฉันจะให้ทรอยฮันท์"ใบรับรองการตรวจสอบเพิ่มเติมนั้นตายแล้ว (จริง ๆ จริง ๆ )" (สิงหาคม 2562) ตอบคำถามของคุณ The บทความเก่า มีตัวอย่างพร้อมรูปภาพทั้งหมด แต่สรุป:

ผู้สนับสนุน EV เพียงคนเดียวดูเหมือนจะเป็นผู้ขายหรือผู้ที่ ไม่เข้าใจว่าการพึ่งพาการไม่มีภาพในเชิงบวกเป็นอย่างไร ตัวบ่งชี้ไม่เคยเป็นความคิดที่ดีเลยตั้งแต่แรก

â â ไม่มี EV อีกต่อไป และผู้ใช้เว็บส่วนใหญ่ไม่เห็นอีกต่อไป สิ่งที่พวกเขาไม่รู้ด้วยซ้ำว่ามีจุดเริ่มต้น! แน่นอนคุณ ยังสามารถเจาะลึกเข้าไปในใบรับรองและดูชื่อเอนทิตีได้ แต่ ใครจะทำอย่างนั้นจริงๆ คุณและฉันบางที แต่เราไม่ใช่ ในเนื้อหาของข้อมูลประชากรของเบราว์เซอร์

Comodo มีอิสระที่จะระบุอะไรก็ได้ในขณะที่พยายามทำกำไรจากผลิตภัณฑ์นี้ให้นานที่สุดเท่าที่จะทำได้

นอกจากนี้ อาชญากรยังสามารถใช้ โลโก้ ComodoCA Trust เช่น ไซต์ฟิชชิ่ง เนื่องจากพวกเขาทำผิดกฎหมายอยู่แล้ว ดังนั้น จึงไม่เพิ่มภาระบาปให้กับพวกเขามากนัก

Score:1
ธง cn

ใบรับรอง OV/EV จะมี (องค์กร), (ประเทศ) ค่าอื่นๆ (ส่วนหนึ่งที่ CA ระบุว่าได้ตรวจสอบแล้ว) ทั้งหมดนี้จะมองเห็นได้โดยผู้ใช้ที่ตัดสินใจจะดูจริง

ในรายละเอียดเพิ่มเติม หากเราดูเบราว์เซอร์หลักสองสาขาที่แตกต่างกัน:

สำหรับ Chrome (92): สำหรับ EV จะแสดงโดยตรงในภาพรวมที่ปรากฏขึ้นเมื่อคุณคลิกสัญลักษณ์แม่กุญแจ "ออกให้กับ: []" (ชื่อองค์กรและประเทศ)
สำหรับไฟร์ฟอกซ์ (90): สำหรับ EV จะแสดงโดยตรงในภาพรวมที่ปรากฏขึ้นเมื่อคุณคลิกสัญลักษณ์แม่กุญแจ "ใบรับรองที่ออกให้กับ: " (ชื่อองค์กร)

("แถบที่อยู่สีเขียว" ที่กล่าวถึงในคำถามอ้างอิงถึงองค์ประกอบ UI ในอดีตที่แสดงข้อมูลข้างต้นโดยตรงในแถบที่อยู่)

สำหรับ Chrome และ Firefox: สำหรับ EV และ OU หากคุณคลิกผ่านเพื่อดูใบรับรองจริงและไปที่ส่วน "หัวเรื่อง" คุณจะมีรายการข้อมูลที่อ้างสิทธิ์ทั้งหมดเกี่ยวกับหัวเรื่อง (องค์กร), อู๋ (หน่วยองค์กร), แอล (ท้องที่), (รัฐ/จังหวัด), (ประเทศ) อย่างอื่นรวมอยู่ด้วย

ดังนั้นจึงมีทั้งหมดและสามารถตรวจสอบได้ในทางทฤษฎีโดยผู้ใช้ปลายทาง ปัญหาในเรื่องนี้คือผู้ใช้ไม่ค่อยเห็นในทางปฏิบัติ
ฉันคิดว่ามีโอกาสสูงกว่าเล็กน้อยที่ข้อมูลสรุปสำหรับใบรับรอง EV (พร้อม และบางเวลา ) ปรากฏให้เห็นโดยผู้ใช้ แต่ถึงอย่างนั้นก็เป็นเรื่องที่ยาวมาก

และเพื่อความสมบูรณ์ ใบรับรองใด ๆ เหล่านี้จะมีเฉพาะค่าของหัวเรื่องที่ได้รับการตรวจสอบโดย CA ซึ่งหมายความว่าสำหรับใบรับรอง DV ส่วนหัวเรื่องจะไม่มีข้อมูลใด ๆ เนื่องจาก CA ได้ตรวจสอบแล้วว่าหัวเรื่องควบคุม ชื่อโดเมนที่เป็นปัญหา ส่วนที่เป็นประโยชน์ของใบรับรอง DV จริงๆ แล้วคือส่วน SAN เท่านั้น แต่นั่นคือสิ่งที่เบราว์เซอร์กำลังตรวจสอบความถูกต้องสำหรับคุณอยู่แล้ว และเหมาะสมหากมีส่วนที่ไม่ตรงกัน

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา