每次SSL证书出现续约时,我的提供商都会尝试向我出售扩展validation证书。 FireFox和Safari的绿色地址栏差别最大的是四倍或五倍的成本。
据说,IE8或Chrome中没有显示绿色栏的好处(以及原因)是对请求方的更深入的authentication。 但是我可以发现Verisign自己的所有SSL证书的最低要求(从CPS开始 )(第3.2.2节)之间的实际差异:
威瑞信至less应:
•通过使用至less一个第三方身份certificate服务或数据库,或者由适用的政府机构或主pipe当局颁发或提交的certificate组织存在的组织文件,确定组织是否存在,•通过电话,validation邮件或类似程序向证书申请人确认关于机构的某些信息,certificate机构已经授权证书申请,并且代表证书申请人提交证书申请的人有权这样做。 当证书中包括作为本组织授权代表的个人的名字时,该个人的雇用和代表本组织行事的权力也应得到确认。
- RedHatnetworkingconfiguration文件的优先顺序是什么?
- SAN硬盘和普通硬盘有什么区别?
- networking嗅探和集线器
- 如何在Windows 2008中configuration\\ domain \ sharedFolder?
- 接口上的多个IP地址。 我想指定其中的一个输出
在证书中包含域名或电子邮件地址的情况下,威瑞信authentication组织有权使用该域名作为完全合格的域名或电子邮件域名。
和电动汽车要求(附录F14C):
(C)商业实体
要validation商业实体的合法存在和身份,威瑞信会以申请人在申请中提交的名称validation实体是否从事商业活动。 威瑞信证实申请人的注册pipe辖权中注册机构认可的申请人的正式法定名称与申请人的名称在EV证书请求中相匹配。 VeriSignlogging了注册机构在申请人的注册pipe辖权中分配给申请人的特定唯一注册号码。 如果注册代理机构没有指定注册号码,申请人的注册date将被logging。 此外,根据电动车指引第14(b)(4)条,核实与业务实体有关的主要个人的身份。
所以:
1)EV证书是否真的激发了用户之间更多的信任?
2)EV证书是否真的帮助打击诈骗/欺诈/任何东西供应商名单?
3)如果他们真的履行了最低要求,是不是包括所有的电动车? 我错过了什么?
六年之后,现在是时候从2015年的angular度重写这个吸食者(以及商业CA领域更多的个人经验)。
首先,就EV证书鼓励信任而言,答案是(仍然)“不,不是真的”。 对EV证书的独立研究并没有在典型的消费者中产生有意义的影响。 Peter Gutmann的“ 工程安全”一书基本上是对CA的800页大肆抨击,并且在整个案文中对EV证书影响安全用户行为的(有效性)有很多的参考,其中密度最高题为“EV Certificates:PKI-me-harder”,自第72页开始。
另一方面,certificateEV证书效力最大的当事人(出售他们的CA)也不能提出任何令人信服的证据。 我能挖掘出来的“最好”的电动汽车案例研究集合,在没有根据的断言上是有趣的,而且对任何有用的数据都是极其短缺的。
至于EV证书是否真的做了什么有用的打击欺诈,我会再次回到Peter Gutmann:
所谓高级别保证或延期validation(EV)证书的介绍仅仅是将通常的嫌疑人数量增加两倍的情况 – 大概有人会对其印象深刻,对networking钓鱼的影响很小,因为它没有解决钓鱼者正在利用的任何问题。
换句话说,你知道,你肯定和你沟通的网站是乌兹别克斯坦塔什干的“诚实的Achmed的毒品集市和鱼市场公司”,并没有说Achmed是否会去用你的信用卡信息和私人信息做铺垫。 EV证书对于组织的安全实践也没有ashleymadison.com任何有用的信息:虽然ashleymadison.com使用通配符DV证书,但它完全有能力获得EV证书,而且每个人的私人peccadillos 仍然可以下载如果他们一直在运行EV证书。
最后,对于什么是值得的,EV证书是经过(一些)更多的validation发布的,超出了域validation(DV)或组织validation(OV)证书的validation。 正在validation的内容实际上并不是那么重要,但是你可以合理地确定某个人已经有了一些合理的麻烦,使得在绿色栏中命名的组织看起来存在。
这里的大部分答案都是双方都有的,但是我觉得我会join(尽pipe在我为Thawte工作的同时,我也可能会“吃一粒盐”)。 EV SSL能够很好地解决一个非常严重的问题 – validation网站的身份并encryption它们之间的连接,这大大减less了networking钓鱼 – 但是奇怪的是,大多数讨论都不太关于它是否有效,更多关于是否有效人们会注意到。 由于对消费者对该技术的认识持怀疑态度,一些网站已经select了电动车 – 尽pipe大多数IT专业人士认为,广泛的encryption将是唯一的方式来维护一个安全的互联网,当大量的EV SSL首先要做的是教育消费者,以便他们能辨别假货和真实的网站(绿色的url栏等)。 所以这是一个难题22.消费者永远不会学习,除非他们掌握像电动汽车这样的技术,并且学习像挂锁和CA这样的东西真的不是外行人难以接近的东西,但是因为他们没有足够的知识来告诉目前的差距是作为一个资金陷阱避免的。 这是一个耻辱,因为研究表明,电动汽车可以减less废弃购物车的数量和其他转换障碍(不仅在威瑞信的研究,但在其他独立的第三方研究)。 当然,每个人都需要某种encryption。
我的build议是:大多数公司提供30天的电动汽车或其他类似的试用。 尝试一下,也许与你的客户进行一些随意的调查,看看他们如何回应。 这应该让你更好地认识到,对你个人而言这是否是一笔好的投资。
这个想法是,证书颁发机构会花钱支付证书,通过查看正式logging和有趣的事情,让你实际上是你说的那些人。 他们很快意识到,如果他们没有做太多的支票,他们可以赚更多的钱,许多人只是检查你是否可以收到你正在创build证书的域名的电子邮件。 然后,一帮人聚在一起说:“好吧,你并不是真的在做你本来打算做的工作”,并且CA回来说:“那么我们为什么不创buildEV证书呢?更严格的检查,就像我们原本打算的那样“,所以现在你有标准证书和EV证书,这些证书已经进行了更严格的身份检查。 浏览器清楚地表明,这些新证书是不同的,大概是那些购买EV证书的人可以感觉到他们有额外的收入。
但最终,大多数人对安全或encryption没有任何线索,只要他们看到一个挂锁,他们就认为他们是安全的。 是的,EV证书比较好,但大多数人不知道其中的差别。
对于技术人员,我认为你可以考虑只有正常的encryption证书,而EV作为encryption,更好的authentication。
我们购买了EV证书。 我从来没有任何人告诉我,他们很高兴我们有。 我敢打赌,大多数互联网用户将在非安全网站上input他们的所有信息,甚至不会注意到它是否安全。
那么,很难说。 可能大多数用户并不了解与普通证书的不同之处,尽pipe绿色栏通常会被注意到,有些人可能会觉得它更“安全”。
这里有一个研究: http : //www.verisign.com/static/040655.pdf关于EV证书对networking用户的影响。 这项研究似乎有明显的效果,例如有59%的用户表示,如果过去有一个绿色地址栏的网站停止了,他们会变得可疑。
不过,这项研究是由Verisign委托,所以采取一粒盐。
我想说,对于大多数人来说,电动车可能并不重要,但是对于那些对电动汽车来说不是那么重要的人来说,这将会是对你有利的一点。 所以,如果成本不是禁止你,得到一个。
我不认为任何人都会有意识地向你提及,但是我们曾经有很多客户要求我们在eBay上为物品创build私人物品,因为他们在那里做生意比较安全。 事实上,我们已经营业了15年以上,几乎是我们产品的全球最大的供应商,然而,我们有专门的市场,因此对新客户的认可度并不高。
电动汽车的重点在于让消费者知道你不仅仅是乔·康曼(Joe Conman)提出的一个挨家挨户的网站,而是你是一个真正的企业,以一种常规的方式做生意,注册地点和身份。 对很多人来说这不是一件小事。
最终,如果电动汽车行之有效,它将会有些透明,但是这意味着更多的人完成购买,因为他们觉得更安全(而且是正确的)。