Cuando veo el certificado SSL de un sitio desde un navegador, siempre dice en la sección "Emitido para" que la organización no forma parte del certificado.
Si los usuarios finales no pueden verificar mi organización de forma independiente (supongo que el navegador ahora lo hace por ellos), ¿cuál es el valor práctico de tener un certificado OV/EV? ¿Es por alguna otra razón? ¿Entonces qué?
Veo que al momento de escribirComodo diceque OV/EV no sólo muestra los detalles de la organización en el certificado, sino que:
Además del símbolo del candado seguro, los certificados EV SSL activan la "barra de direcciones verde" en navegadores web seleccionados al mostrar el nombre de la empresa autenticada en verde junto a la dirección web.
No creo que ninguna de las afirmaciones haya sido cierta desde hace un par de años para la mayoría de los navegadores. Enumeran algunos otros beneficios, pero parecen marginales ("Viene con el logotipo de ComodoCA Trust". ¿Existe mucha evidencia de que los usuarios finales lo sepan o les importe?).
EDITAR: Desde que publiqué mi pregunta, ahora veo que hay algunos sitios que tienen una organización en sus certificados: uk.yahoo.com (aunque se muestra como "Oath Inc") ywww.bankofengland.co.uk. Esto obviamente contradice mi punto inicial. Pero creo que mi pregunta principal sigue en pie. Sin embargo, es curioso que Google no utilice vehículos eléctricos.
Respuesta1
Un certificado OV/EV contendría los valores O(Organización), C(País), etc. (parte de los cuales la CA afirma que han validado), todos visibles para cualquier usuario que realmente decida verlo.
Con más detalle, si observamos dos ramas principales diferentes de navegadores:
Para cromo (92): para EV, se muestra directamente en la descripción general que aparece al hacer clic en el símbolo del candado "Emitido para: O[C ]" (nombre de la organización y país)
Para Firefox (90): para EV se muestra directamente en la descripción general que aparece al hacer clic en el símbolo del candado "Certificado emitido a: O" (Nombre de la organización)
(La "barra de direcciones verde" mencionada en la pregunta hace referencia a un elemento histórico de la interfaz de usuario que mostraba esencialmente la información anterior directamente en la barra de direcciones).
Para Chrome y Firefox: tanto para EV como para OU, si hace clic para ver el certificado real y va a la sección "Asunto", tendrá la lista completa de la información reclamada sobre el tema. O(Organización), OU(Unidad organizativa), L(Localidad), S(Estado/Provincia), C(País), cualquier otra cosa que pueda incluirse.
Así que todo está ahí y, en teoría, cualquier usuario final puede inspeccionarlo. El problema a este respecto es que, en la práctica, los usuarios rara vez lo ven.
Supongo que existe una probabilidad ligeramente mayor de que un usuario vea el resumen de los certificados de vehículos eléctricos (con Oy a veces ), pero incluso eso es una posibilidad muy remota.C
Y para completar, cualquiera de estos certificados solo contiene los valores sobre el tema que han sido validados por la CA, lo que significa que para los certificados DV, la sección de tema no tendrá esta información ya que la CA solo ha validado que el sujeto controla el nombre de dominio en cuestión. La parte útil de un certificado DV en realidad sería solo la sección SAN, pero eso es lo que el navegador ya está validando por usted y haciendo un ajuste si hay una discrepancia.
Respuesta2
Dejaré que Troy Hunt sea "Los certificados de validación extendida están (realmente, realmente) muertos" (agosto de 2019) responde a tu pregunta. Elartículo anteriorTiene todos los ejemplos con imágenes, pero para resumir:
Los únicos defensores de los vehículos eléctricos parecían ser aquellos que los vendían o aquellos que no entendían cómo confiar en la ausencia de un indicador visual positivo nunca fue una buena idea en primer lugar.
– – ¡No más vehículos eléctricos y la gran mayoría de los usuarios de la web ya no ven algo que ni siquiera sabían que estaba allí! Claro, todavía puedes profundizar en el certificado y ver el nombre de la entidad, pero ¿quién va a hacer eso realmente? Tú y yo, tal vez, pero no estamos exactamente en el centro de la demografía de los navegadores.
Comodo es libre de declarar cualquier cosa mientras intenta obtener ganancias con este producto siempre que pueda.
Además, los delincuentes podrían utilizar elLogotipo de ComodoCA Trustpor ejemplo, un sitio de phishing, ya que ya están infringiendo la ley y, por lo tanto, no añadiría mucho a su carga de pecado.