Você já percebeu que às vezes o seu navegador exibe o nome da organização de um site em um site criptografado? Isso é um sinal de que o site tem um certificado de validação estendido, indicando que a identidade do site foi verificada.
Os certificados EV não fornecem nenhuma força de criptografia adicional – em vez disso, um certificado EV indica que ocorreu uma verificação extensiva da identidade do site. Os certificados SSL padrão fornecem muito pouca verificação da identidade de um site.
Índice
Como os navegadores exibem certificados de validação estendida
Em um site criptografado que não usa um certificado de validação estendido, o Firefox diz que o site é “executado por (desconhecido)”.
O Chrome não exibe nada diferente e diz que a identidade do site foi verificada pela autoridade de certificação que emitiu o certificado do site.
Quando você está conectado a um site que usa um certificado de validação estendido, o Firefox informa que ele é executado por uma organização específica. De acordo com esta caixa de diálogo, a VeriSign verificou que estamos conectados ao site real do PayPal, que é administrado pela PayPal, Inc.
Quando você está conectado a um site que usa um certificado EV no Chrome, o nome da organização aparece na barra de endereço. A caixa de diálogo de informações nos diz que a identidade do PayPal foi verificada pela VeriSign usando um certificado de validação estendido.
O problema com certificados SSL
Anos atrás, as autoridades de certificação costumavam verificar a identidade de um site antes de emitir um certificado. A autoridade de certificação verifica se a empresa que está solicitando o certificado está registrada, liga para o número de telefone e verifica se a empresa é uma operação legítima que corresponde ao site.
Eventualmente, as autoridades de certificação começaram a oferecer certificados “apenas de domínio”. Eles eram mais baratos, pois dava menos trabalho para a autoridade de certificação verificar rapidamente se o solicitante possuía um domínio específico (site).
Os phishers eventualmente começaram a tirar vantagem disso. Um phisher poderia registrar o domínio paypall.com e adquirir um certificado somente de domínio. Quando um usuário se conectava a paypall.com, o navegador do usuário exibia o ícone de cadeado padrão, fornecendo uma falsa sensação de segurança. Os navegadores não exibiam a diferença entre um certificado somente de domínio e um certificado que envolvia uma verificação mais ampla da identidade do site.
A confiança pública nas autoridades de certificação para verificar os sites caiu – este é apenas um exemplo de autoridades de certificação que falharam em fazer sua devida diligência. Em 2011, a Electronic Frontier Foundation descobriu que as autoridades de certificação emitiram mais de 2.000 certificados para “localhost” – um nome que sempre se refere ao seu computador atual. ( Fonte ) Em mãos erradas, esse certificado poderia facilitar os ataques de intermediários.
Como os certificados de validação estendida são diferentes
Um certificado EV indica que uma autoridade de certificação verificou que o site é administrado por uma organização específica. Por exemplo, se um phisher tentasse obter um certificado EV para paypall.com, a solicitação seria recusada.
Ao contrário dos certificados SSL padrão, apenas as autoridades de certificação que passam por uma auditoria independente têm permissão para emitir certificados EV. O Fórum da Autoridade de Certificação / Navegador (CA / Fórum do Navegador), uma organização voluntária de autoridades de certificação e fornecedores de navegadores como Mozilla, Google, Apple e Microsoft emite diretrizes rígidas que todas as autoridades de certificação que emitem certificados de validação estendidos devem seguir. Idealmente, isso evita que as autoridades de certificação se envolvam em outra “corrida para o fundo do poço”, onde usam práticas de verificação negligentes para oferecer certificados mais baratos.
Resumindo, as diretrizes exigem que as autoridades de certificação verifiquem se a organização que está solicitando o certificado está oficialmente registrada, se ela possui o domínio em questão e se a pessoa que está solicitando o certificado está agindo em nome da organização. Isso envolve verificar os registros do governo, entrar em contato com o proprietário do domínio e entrar em contato com a organização para verificar se a pessoa que está solicitando o certificado trabalha para a organização.
Em contraste, uma verificação de certificado apenas de domínio pode envolver apenas uma olhada nos registros whois do domínio para verificar se o registrante está usando as mesmas informações. A emissão de certificados para domínios como “localhost” implica que algumas autoridades de certificação nem mesmo estão fazendo tanta verificação. Os certificados EV são, fundamentalmente, uma tentativa de restaurar a confiança do público nas autoridades de certificação e restaurar seu papel como guardiões contra impostores.
