it-swarm-eu.dev

Was sind die Vorteile des EV-Zertifikats?

Was sind die verschiedenen Vorteile der Verwendung von EV-Zertifikaten gegenüber normalen Zertifikaten, die auch einen vergleichsweise hohen Verschlüsselungsgrad wie RC4, 128 Bit bieten?

Ich weiß, dass der Browser die grüne Flagge für EV-Zertifikate anzeigt. Aber gibt es noch einen anderen Vorteil als nur diesen?

38
Novice User

Erweiterte Validierungszertifikate sollen dem Benutzer die Institution, an die sie ausgestellt wurden, besser sichtbar machen. Die technischen Aspekte der Zertifikate selbst werden mit visuellen Hinweisen in der Benutzeroberfläche der Anwendung kombiniert, die sie überprüfen: die grüne Leiste und ein sichtbarer Name neben der Positionsleiste im Browser.

Mit dem EV-Zertifikat unter http://www.Paypal.com/ zeigt der Browser beispielsweise einen grünen Balken an und zeigt "Paypal, Inc." an. Daneben. Dies dient nicht nur dazu, das Zertifikat mit dem Domaininhaber zu verknüpfen (wie dies bei standardmäßigen domänenvalidierten Zertifikaten der Fall ist), sondern auch, um es mit einer physischeren Institution (hier Paypal, Inc.) zu verknüpfen. Dazu muss die Zertifizierungsstelle überprüfen, ob die genannte Institution tatsächlich diejenige ist, die die Domain besitzt.

Letztendlich geht es hier mehr darum, eine authentifiziertere Verbindung zwischen dem Domainnamen und dem Firmennamen herzustellen, als "sicherere" Zertifikate zu erstellen. Aus Sicht der Cipher Suite (die den Verschlüsselungsalgorithmus und die Schlüsselgröße bestimmt) unterscheiden sich EV-Zertifikate nicht von DV-Zertifikaten (blauer Balken).

Wenn Sie ein wenig zurücktreten, müssen Sie erkennen, dass die Effektivität von HTTPS davon abhängt, dass der Benutzer überprüft, ob es richtig verwendet wird. (Der Server kann nicht herausfinden, ob der Client anderweitig Opfer eines MITM-Angriffs ist, es sei denn, er verwendet auch Client-Zertifikate.) Dies bedeutet, dass die Benutzer:

  • überprüfen Sie, ob HTTPS verwendet wird, wenn dies erwartet wird.
  • überprüfen Sie, ob keine Warnungen vorhanden sind.
  • überprüfen Sie, ob die von ihnen verwendete Website tatsächlich diejenige ist, die sie besuchen möchten, was zu einigen Unterpunkten führt:
    • überprüfen, ob es sich um den erwarteten Domainnamen handelt,
    • überprüfen, ob der Domainname zu dem Unternehmen gehört, das sie erwarten.

EV-Zertifikate sollen diesen letzten Unterpunkt lösen. Wenn Sie bereits wissen, dass Amazon.com Zu Amazon.com, Inc. gehört oder dass google.com Zu Google Inc. gehört, benötigen Sie diese nicht wirklich.

Ich persönlich bin nicht davon überzeugt, dass dieser Ansatz vollständig funktioniert, da sie missbraucht werden können (siehe NatWest/RBS-Beispiel unten) und einige Zertifizierungsstellen vage (und möglicherweise irreführende) Informationen darüber zu verbreiten scheinen, was sie wirklich sind, um Werbung zu machen Sie.

Wenn Ihre Benutzer bereits wissen, dass Ihr Domain-Name Ihnen gehört, benötigen Sie im Allgemeinen keinen.

Hier sind weitere Details von einem vorherige Antwort, die ich auf eine ähnliche Frage gegeben habe :

[...]

Die domänenvalidierten Zertifikate garantieren Ihnen, dass das Zertifikat an den Eigentümer dieser Domäne ausgestellt wurde. Nicht mehr, aber nicht weniger (ich gehe davon aus, dass das Validierungsverfahren hier korrekt war). In vielen Fällen ist dies ausreichend. Es hängt alles davon ab, ob die von Ihnen beworbene Website mit einer Institution verknüpft werden muss, die bereits offline bekannt ist. Zertifikate, die für eine Organisation validiert sind (OV- und EV-Zertifikate), sind hauptsächlich nützlich, wenn Sie die Domäne auch an eine physische Organisation binden müssen.

Zum Beispiel ist es für eine Institution, die ursprünglich über ihr Gebäude bekannt war (z. B. die Bank of America), nützlich zu sein, sagen zu können, dass ein Zertifikat für bankofamerica.com In der Tat für den Ort gilt, an dem Sie Ihr physisches Geld gegeben haben. In diesem Fall ist es sinnvoll, ein OV- oder EV-Zertifikat zu verwenden. Dies kann auch nützlich sein, wenn Unklarheiten darüber bestehen, welche Institution hinter dem Domainnamen steht (z. B. Apple.com Und Apple.co.uk), Was noch wichtiger ist, wenn der ähnliche Domainname einem Rivalen gehört/Angreifer, der den Namen Ähnlichkeit für schlechte Zwecke verwendet.

Im Gegensatz dazu definiert www.google.com Google für die Öffentlichkeit. Google muss nicht beweisen, dass google.com Zum echten Google gehört. Infolgedessen wird ein domänenvalidiertes Zertifikat verwendet (dasselbe gilt für Amazon.com).

Auch dies ist sehr nützlich, wenn der Benutzer weiß, wie dies zu überprüfen ist. Browser helfen hier nicht wirklich. Firefox sagt nur "was von (unbekannt) ausgeführt wird", wenn Sie weitere Details zum Zertifikat unter www.google.com Möchten, ohne wirklich zu sagen, was damit gemeint ist.

Zertifikate mit erweiterter Validierung sind ein Versuch, dies zu verbessern, indem das Verfahren zur Validierung der Organisation strenger gestaltet und das Ergebnis sichtbarer gemacht wird: grüner Balken und sichtbarere Organisation.

Leider wird dies manchmal so verwendet, dass die Verwirrung zunimmt, denke ich. Hier ist ein Beispiel, das Sie selbst überprüfen können: Eine der großen britischen Banken (NatWest) verwendet das https://www.nwolb.com/ für ihre Online-Bankdienstleistungen. Es ist alles andere als offensichtlich, dass der Domainname NatWest gehört (der übrigens auch den logischeren Namen natwest.co.uk Besitzt). Schlimmer noch, die erweiterte Validierung (wenn Sie den Namen neben dem grünen Balken überprüfen) erfolgt gegen "Royal Bank of Scotland Group plc".

Für diejenigen, die Finanznachrichten verfolgen, ist dies sinnvoll, da sowohl RBS als auch NatWest zur selben Gruppe gehören. Technisch gesehen sind RBS und NatWest jedoch Konkurrenten (und beide haben Niederlassungen auf der Hauptstraße in Großbritannien - obwohl sich dies ändern wird). Wenn Ihr Benutzer nicht über das zusätzliche Wissen verfügt, welche Gruppen unter welchem ​​Namen handeln, sollte die Tatsache, dass ein Zertifikat für den Namen eines potenziellen Konkurrenten ausgestellt wird, Alarmglocken läuten. Wenn Sie als Benutzer ein Zertifikat für gooooogle.com Gesehen haben, das an Microsoft oder Yahoo ausgestellt wurde, wie grün die Leiste auch sein mag, sollten Sie dies nicht als Google-Website behandeln.

Ein Punkt, den Sie bei EV-Zertifikaten beachten sollten, ist, dass ihre Konfiguration ist in den Browsern fest codiert . Dies ist eine Einstellung zur Kompilierungszeit, die später nicht mehr konfiguriert werden kann (im Gegensatz zu normalen vertrauenswürdigen Zertifikatspeichern, in denen Sie beispielsweise Ihr eigenes institutionelles CA-Zertifikat hinzufügen können). Aus zynischerer Sicht könnten einige dies als eine bequeme Möglichkeit für die Hauptakteure betrachten, eine starke Position auf dem Markt zu halten.

43
Bruno

Sie sollen dem Benutzer zusätzliches Vertrauen vermitteln, dass die Zertifizierungsstelle ihre Arbeit ordnungsgemäß ausgeführt hat. Der Hauptzweck erweiterter Validierungszertifikate besteht jedoch darin, zusätzliche Einnahmen für die Zertifizierungsstellen zu generieren.

Okay, genug von den Snarky, im Grunde müssen sie diese Richtlinien befolgen, bevor sie eine herausgeben: EV Certificate Guidelines v.1. . Es umfasst Dinge wie die Überprüfung der Registrierung und Adresse des Unternehmens/der Organisation. Um Zugriff auf die Signaturschlüssel zu erhalten, ist eine Zwei-Faktor-Authentifizierung erforderlich, und alles wird sorgfältig protokolliert.

13
ewanm89

Alle Zertifizierungsstellen, denen große Anwendungsanbieter vertrauen, müssen die vom CABForum veröffentlichten Basisanforderungen für die Ausstellung von TLS-Zertifikaten befolgen. Zertifizierungsstellen, die EV-Zertifikate (Extended Validation) ausstellen möchten, müssen eine Reihe zusätzlicher Richtlinien und Validierungsanforderungen befolgen und jährlich daraufhin überprüft werden, bevor ihr EV-Zertifikat von einem der Browser als vertrauenswürdig eingestuft und anerkannt wird. Zertifizierungsstellen, die EV-Zertifikate ausstellen, müssen für 1 Mio. USD gebunden sein und müssen den gesetzlichen Namen, den Ort der Gründung, die Adresse und die Registrierungsnummer (für Banken ist dies manchmal die FDIC-Registrierungsnummer) in das Zertifikat eingeben. Während es den Anschein haben mag, dass EV-Zertifikate lediglich eine Möglichkeit für Zertifizierungsstellen sind, mehr Geld zu verlangen, gibt es mehr Risiken und Untersuchungen, die zur Validierung der Authentizität und Autorisierung des Abonnenten führen.

0
sophist2b