Sertifikat EV tidak memberikan kekuatan enkripsi tambahan - sebagai gantinya, sertifikat EV menunjukkan bahwa verifikasi ekstensif identitas situs web telah terjadi. Sertifikat SSL standar menyediakan sedikit verifikasi identitas situs web.
Bagaimana Browser Menampilkan Sertifikat Validasi Diperpanjang
Di situs web terenkripsi yang tidak menggunakan sertifikat validasi tambahan, Firefox mengatakan bahwa situs web "dijalankan oleh (tidak diketahui)."
Masalah dengan Sertifikat SSL
Bertahun-tahun yang lalu, otoritas sertifikat digunakan untuk memverifikasi identitas situs web sebelum mengeluarkan sertifikat. Otoritas sertifikat akan memeriksa apakah bisnis yang meminta sertifikat itu terdaftar, menghubungi nomor telepon, dan memverifikasi bahwa bisnis itu adalah operasi sah yang cocok dengan situs web.
Akhirnya, otoritas sertifikat mulai menawarkan sertifikat "khusus domain". Ini lebih murah, karena itu kurang bekerja untuk otoritas sertifikat untuk segera memeriksa bahwa pemohon memiliki domain tertentu (situs web).
Phisher akhirnya mulai mengambil keuntungan dari ini. Seorang phisher dapat mendaftarkan domain paypall.com dan membeli sertifikat khusus domain. Ketika seorang pengguna terhubung ke paypall.com, peramban pengguna akan menampilkan ikon kunci standar, memberikan rasa aman yang salah. Browser tidak menampilkan perbedaan antara sertifikat khusus domain dan sertifikat yang melibatkan verifikasi lebih luas dari identitas situs web.
Kepercayaan publik pada otoritas sertifikat untuk memverifikasi situs web telah jatuh - ini hanyalah satu contoh dari otoritas sertifikat yang gagal melakukan uji tuntas mereka. Pada tahun 2011, Electronic Frontier Foundation menemukan bahwa otoritas sertifikat telah mengeluarkan lebih dari 2000 sertifikat untuk "localhost" - sebuah nama yang selalu mengacu pada komputer Anda saat ini. (Sumber) Di tangan yang salah, sertifikat seperti itu bisa membuat serangan man-in-the-middle menjadi lebih mudah.
Bagaimana Perpanjangan Sertifikat Validasi Berbeda
Sertifikat EV menunjukkan bahwa otoritas sertifikat telah memverifikasi bahwa situs web dijalankan oleh organisasi tertentu. Misalnya, jika phisher mencoba mendapatkan sertifikat EV untuk paypall.com, permintaan akan ditolak.
Tidak seperti sertifikat SSL standar, hanya otoritas sertifikat yang lulus audit independen yang diizinkan untuk mengeluarkan sertifikat EV. Otoritas Sertifikasi / Forum Browser (CA / Forum Browser), sebuah organisasi sukarela dari otoritas sertifikasi dan vendor browser seperti Mozilla, Google, Apple, dan Microsoft mengeluarkan panduan ketat bahwa semua otoritas sertifikat yang mengeluarkan sertifikat validasi tambahan harus mengikuti. Idealnya, ini mencegah otoritas sertifikat terlibat dalam "perlombaan ke bawah" lainnya, di mana mereka menggunakan praktik verifikasi yang longgar untuk menawarkan sertifikat yang lebih murah.
Singkatnya, pedoman menuntut otoritas sertifikat memverifikasi organisasi yang meminta sertifikat secara resmi terdaftar, bahwa ia memiliki domain yang dipermasalahkan, dan bahwa orang yang meminta sertifikat bertindak atas nama organisasi. Ini melibatkan pemeriksaan catatan pemerintah, menghubungi pemilik domain, dan menghubungi organisasi untuk memverifikasi bahwa orang yang meminta sertifikat tersebut berfungsi untuk organisasi tersebut.
Sebaliknya, verifikasi sertifikat khusus domain mungkin hanya melibatkan pandangan sekilas pada catatan whois domain untuk memverifikasi bahwa pendaftar menggunakan informasi yang sama. Penerbitan sertifikat untuk domain seperti "localhost" menyiratkan bahwa beberapa otoritas sertifikat bahkan tidak melakukan verifikasi sebanyak itu. Sertifikat EV, pada dasarnya, merupakan upaya untuk memulihkan kepercayaan publik pada otoritas sertifikat dan mengembalikan peran mereka sebagai penjaga gawang terhadap penipu.
