Wenn ich das SSL-Zertifikat einer Site in einem Browser ansehe, wird im Abschnitt „Ausgestellt für“ immer angezeigt, dass die Organisation nicht Teil des Zertifikats ist.
Wenn Endbenutzer meine Organisation nicht eigenständig verifizieren können (ich gehe davon aus, dass der Browser das mittlerweile für sie übernimmt), welchen praktischen Nutzen hat dann ein OV/EV-Zertifikat? Hat es einen anderen Grund? Und wenn ja, welchen?
Ich sehe, dass zum Zeitpunkt des SchreibensComodo sagtdass OV/EV nicht nur die Organisationsdetails im Zertifikat anzeigt, sondern:
Zusätzlich zum sicheren Vorhängeschlosssymbol aktivieren EV-SSL-Zertifikate die „grüne Adressleiste“ in ausgewählten Webbrowsern, indem sie den authentifizierten Firmennamen in Grün neben der Webadresse anzeigen.
Ich glaube nicht, dass eine dieser Aussagen seit etwa zwei Jahren für die meisten Browser zutrifft. Sie führen einige andere Vorteile auf, aber diese scheinen marginal zu sein („Kommt mit dem ComodoCA Trust-Logo“ – gibt es viele Beweise dafür, dass Endbenutzer das wissen oder sich darum kümmern?).
EDIT: Seit ich meine Frage gepostet habe, sehe ich, dass es einige Websites gibt, die eine Organisation in ihren Zertifikaten haben: uk.yahoo.com (obwohl als "Oath Inc" angezeigt) undwww.bankofengland.co.uk. Dies widerlegt offensichtlich meinen ursprünglichen Punkt. Aber ich denke, meine Hauptfrage bleibt bestehen. Merkwürdig, dass Google EV nicht verwendet.
Antwort1
Ein OV/EV-Zertifikat würde die Werte O(Organisation), C(Land) usw. enthalten (von denen die Zertifizierungsstelle einen Teil als validiert angibt), und zwar für jeden Benutzer sichtbar, der sich tatsächlich dazu entschließt, sie anzusehen.
Im Detail betrachten wir zwei verschiedene Hauptzweige von Browsern:
Für Chrome (92): für EV wird es direkt in der Übersicht angezeigt, die erscheint, wenn Sie auf das Vorhängeschloss-Symbol klicken: „Ausgestellt an: O[ C]“ (Name der Organisation und Land)
Für Firefox (90): für EV wird es direkt in der Übersicht angezeigt, die erscheint, wenn Sie auf das Vorhängeschloss-Symbol klicken: „Zertifikat ausgestellt für: O„ (Name der Organisation)
(Die in der Frage erwähnte „grüne Adressleiste“ bezieht sich auf ein historisches UI-Element, das im Wesentlichen die oben genannten Informationen direkt in der Adressleiste anzeigte.)
Für Chrome und Firefox: Sowohl für EV als auch für OU gilt: Wenn Sie durchklicken, um das eigentliche Zertifikat anzuzeigen, und zum Abschnitt „Betreff“ gehen, erhalten Sie die vollständige Liste der angegebenen Informationen zum Betreff. O(Organisation), OU(Organisationseinheit), L(Ort), S(Bundesland/Provinz), C(Land) und alles, was sonst noch enthalten sein mag.
Es ist also alles da und kann theoretisch von jedem Endbenutzer eingesehen werden. Das Problem dabei ist, dass es in der Praxis nur sehr selten von Benutzern tatsächlich angesehen wird. Ich nehme an, dass die Wahrscheinlichkeit, dass die Zusammenfassung für EV-Zertifikate (mit und manchmal ) von einem Benutzer gesehen wird,
etwas höher ist , aber selbst das ist sehr unwahrscheinlich.OC
Und der Vollständigkeit halber sei gesagt, dass jedes dieser Zertifikate nur die Werte zum Betreff enthält, die von der Zertifizierungsstelle validiert wurden. Das bedeutet, dass der Betreffabschnitt bei DV-Zertifikaten keine dieser Informationen enthält, da die Zertifizierungsstelle nur validiert hat, dass der Betreff den betreffenden Domänennamen kontrolliert. Der nützliche Teil eines DV-Zertifikats wäre eigentlich nur der SAN-Abschnitt, aber diesen validiert der Browser bereits für Sie und gibt einen Anfall aus, wenn eine Nichtübereinstimmung vorliegt.
Antwort2
Ich werde Troy Hunts „Extended Validation-Zertifikate sind (wirklich, wirklich) tot" (August 2019) beantworten Sie Ihre Frage. Dieälterer Artikelenthält alle Beispiele mit Bildern, aber um es zusammenzufassen:
Die einzigen Befürworter von Elektrofahrzeugen schienen diejenigen zu sein, die sie verkauften, oder diejenigen, die nicht verstanden, dass es von vornherein keine gute Idee war, sich auf das Fehlen eines positiven visuellen Indikators zu verlassen.
– – kein EV mehr und die überwiegende Mehrheit der Webnutzer sieht nichts mehr, von dem sie nicht einmal wussten, dass es überhaupt da ist! Natürlich können Sie immer noch in das Zertifikat einsteigen und den Entitätsnamen sehen, aber wer wird das wirklich tun? Sie und ich vielleicht, aber wir sind nicht gerade das Herzstück der Browserdemografie.
Es steht Comodo frei, alles zu behaupten, während das Unternehmen versucht, mit diesem Produkt so lange wie möglich Gewinn zu erzielen.
Außerdem könnten Kriminelle dieComodoCA Trust Logobeispielsweise auf einer Phishing-Site, da sie bereits gegen das Gesetz verstoßen und es daher ihre Sündenlast nicht wesentlich vergrößern würde.