Diferença prática entre um certificado SSL DV e EV/OV?

Question 1

Um certificado OV/EV conteria os valores O(Organização), C(País), etc. (parte dos quais a CA declara que foi validado), todos visíveis para qualquer usuário que realmente decida examiná-lo.

Mais detalhadamente, se observarmos dois ramos principais diferentes de navegadores:

Para cromo (92): para EV aparece diretamente na visão geral que aparece quando você clica no símbolo do cadeado "Emitido para: O[ C]" (Nome da organização e país)
Para Firefox (90): para EV aparece diretamente na visão geral que aparece quando você clica no símbolo do cadeado "Certificado emitido para: O" (Nome da organização)

(A "barra de endereço verde" mencionada na pergunta se refere a um elemento histórico da interface do usuário que mostrava essencialmente as informações acima diretamente na barra de endereço.)

Para Chrome e Firefox: tanto para EV quanto para OU, se você clicar para visualizar o certificado real e for para a seção "Assunto", você terá a lista completa de informações reivindicadas sobre o assunto. O(Organização), OU(Unidade Organizacional), L(Localidade), S(Estado/Província), C(País), tudo o mais que possa ser incluído.

Portanto, está tudo lá e pode, teoricamente, ser inspecionado por qualquer usuário final. O problema a este respeito é que muito raramente é visualizado pelos utilizadores na prática.
Suponho que haja uma chance um pouco maior de que o resumo dos certificados EV (com Oe às vezes C) seja visto por um usuário, mas mesmo isso é um tiro no escuro.

E para completar, qualquer um desses certificados contém apenas os valores sobre o assunto que foram validados pela CA, o que significa que para certificados DV, a seção do assunto não terá nenhuma dessas informações, pois a CA apenas validou que o assunto controla o nome de domínio em questão. A parte útil de um certificado DV seria realmente apenas a seção SAN, mas é isso que o navegador já está validando para você e fazendo um ajuste se houver uma incompatibilidade.

Answer

Um certificado OV/EV conteria os valores O(Organização), C(País), etc. (parte dos quais a CA declara que foi validado), todos visíveis para qualquer usuário que realmente decida examiná-lo.

Mais detalhadamente, se observarmos dois ramos principais diferentes de navegadores:

Para cromo (92): para EV aparece diretamente na visão geral que aparece quando você clica no símbolo do cadeado "Emitido para: O[ C]" (Nome da organização e país)
Para Firefox (90): para EV aparece diretamente na visão geral que aparece quando você clica no símbolo do cadeado "Certificado emitido para: O" (Nome da organização)

(A "barra de endereço verde" mencionada na pergunta se refere a um elemento histórico da interface do usuário que mostrava essencialmente as informações acima diretamente na barra de endereço.)

Para Chrome e Firefox: tanto para EV quanto para OU, se você clicar para visualizar o certificado real e for para a seção "Assunto", você terá a lista completa de informações reivindicadas sobre o assunto. O(Organização), OU(Unidade Organizacional), L(Localidade), S(Estado/Província), C(País), tudo o mais que possa ser incluído.

Portanto, está tudo lá e pode, teoricamente, ser inspecionado por qualquer usuário final. O problema a este respeito é que muito raramente é visualizado pelos utilizadores na prática.
Suponho que haja uma chance um pouco maior de que o resumo dos certificados EV (com Oe às vezes C) seja visto por um usuário, mas mesmo isso é um tiro no escuro.

E para completar, qualquer um desses certificados contém apenas os valores sobre o assunto que foram validados pela CA, o que significa que para certificados DV, a seção do assunto não terá nenhuma dessas informações, pois a CA apenas validou que o assunto controla o nome de domínio em questão. A parte útil de um certificado DV seria realmente apenas a seção SAN, mas é isso que o navegador já está validando para você e fazendo um ajuste se houver uma incompatibilidade.

Question 2

Vou deixar Troy Hunt's "Certificados de validação estendida estão (realmente) mortos" (agosto de 2019) responda sua pergunta. Oartigo mais antigotem todos os exemplos com fotos, mas para resumir:

Os únicos proponentes do VE pareciam ser aqueles que o vendiam ou aqueles que não entendiam como a confiança na ausência de um indicador visual positivo simplesmente nunca foi uma boa ideia, em primeiro lugar.

– – não há mais EV e a grande maioria dos usuários da web não vê mais algo que nem sabia que existia! Claro, você ainda pode detalhar o certificado e ver o nome da entidade, mas quem realmente fará isso? Você e eu, talvez, mas não estamos exatamente no centro da demografia dos navegadores.

A Comodo é livre para declarar qualquer coisa enquanto tenta lucrar com este produto enquanto puder.

Além disso, os criminosos poderiam usar oComodoCA Trust Logopor exemplo, um site de phishing, pois eles já estão infringindo a lei e, portanto, não acrescentariam muito ao seu fardo de pecado.

Answer

Vou deixar Troy Hunt's "Certificados de validação estendida estão (realmente) mortos" (agosto de 2019) responda sua pergunta. Oartigo mais antigotem todos os exemplos com fotos, mas para resumir:

Os únicos proponentes do VE pareciam ser aqueles que o vendiam ou aqueles que não entendiam como a confiança na ausência de um indicador visual positivo simplesmente nunca foi uma boa ideia, em primeiro lugar.

– – não há mais EV e a grande maioria dos usuários da web não vê mais algo que nem sabia que existia! Claro, você ainda pode detalhar o certificado e ver o nome da entidade, mas quem realmente fará isso? Você e eu, talvez, mas não estamos exatamente no centro da demografia dos navegadores.

A Comodo é livre para declarar qualquer coisa enquanto tenta lucrar com este produto enquanto puder.

Além disso, os criminosos poderiam usar oComodoCA Trust Logopor exemplo, um site de phishing, pois eles já estão infringindo a lei e, portanto, não acrescentariam muito ao seu fardo de pecado.

Diferença prática entre um certificado SSL DV e EV/OV?

Responder1

Responder2

informação relacionada