it-swarm-id.com

Apa kelebihan Sertifikat EV?

Apa berbagai keuntungan menggunakan sertifikat perpanjangan validasi (EV) daripada sertifikat normal yang juga menyediakan tingkat enkripsi yang relatif tinggi seperti RC4, 128 Bit?

Saya tahu bahwa browser menunjukkan bendera hijau untuk sertifikat EV. Tapi adakah manfaat lain selain itu?

38
Novice User

Sertifikat Validasi Diperpanjang dimaksudkan untuk menunjukkan kepada pengguna secara lebih jelas institusi tempat mereka dikeluarkan. Aspek teknis sertifikat itu sendiri dikombinasikan dengan petunjuk visual di antarmuka pengguna aplikasi yang memverifikasi mereka: bilah hijau dan nama yang terlihat di sebelah bilah lokasi di browser.

Misalnya, sertifikat EV di http://www.Paypal.com/ akan membuat peramban menampilkan bilah hijau dan menampilkan "Paypal, Inc." di sebelahnya. Ini dirancang tidak hanya untuk menautkan sertifikat ke pemilik domain (seperti sertifikat standar yang divalidasi domain), tetapi juga menautkannya ke lembaga yang lebih fisik (di sini, Paypal, Inc.). Untuk melakukan ini, CA harus memverifikasi bahwa lembaga yang disebutkan itu memang yang memiliki domain.

Pada akhirnya, ini lebih tentang membuat tautan yang lebih terautentikasi antara nama domain dan nama perusahaan daripada membuat sertifikat "lebih aman". Dari sudut pandang cipher suite (yang menentukan algoritma enkripsi dan ukuran kunci), sertifikat EV tidak berbeda dari sertifikat DV (bilah biru).

Melangkah mundur sedikit, Anda perlu menyadari bahwa efektivitas HTTPS bergantung pada pengguna memeriksa apakah itu digunakan dengan benar. (Server tidak memiliki cara untuk mengetahui apakah klien menjadi korban serangan MITM, kecuali jika menggunakan sertifikat klien juga.) Ini berarti bahwa pengguna harus:

  • periksa apakah HTTPS digunakan ketika mereka mengharapkannya,
  • periksa bahwa tidak ada peringatan,
  • pastikan situs web yang mereka gunakan memang situs yang ingin mereka kunjungi, yang mengarah ke beberapa sub-poin:
    • memeriksa apakah itu nama domain yang mereka harapkan,
    • memeriksa apakah nama domain itu milik perusahaan yang mereka harapkan.

Sertifikat EV dimaksudkan untuk menyelesaikan sub-poin terakhir itu. Jika Anda sudah tahu itu Amazon.com milik Amazon.com, Inc. atau itu google.com milik Google Inc., Anda tidak benar-benar membutuhkannya.

Saya pribadi tidak yakin bahwa pendekatan ini benar-benar berfungsi, karena mereka dapat disalahgunakan (lihat contoh NatWest/RBS di bawah) dan beberapa CA tampaknya menyebarkan informasi yang tidak jelas (dan berpotensi menyesatkan) mengenai apa sebenarnya mereka, dalam upaya untuk mempromosikan mereka.

Secara umum, jika pengguna Anda sudah tahu bahwa nama domain Anda adalah milik Anda, Anda tidak benar-benar membutuhkannya.

Berikut ini rincian lebih lanjut dari jawaban sebelumnya saya berikan untuk pertanyaan serupa :

[...]

Sertifikat yang divalidasi domain menjamin Anda bahwa sertifikat itu dikeluarkan untuk pemilik domain itu. Tidak lebih, tetapi tidak kurang (saya mengasumsikan prosedur validasi sudah benar di sini). Dalam banyak kasus, ini sudah cukup. Itu semua tergantung pada apakah situs web yang Anda promosikan harus ditautkan ke lembaga yang sudah dikenal secara off-line. Sertifikat yang divalidasi terhadap suatu organisasi (sertifikat OV dan EV) terutama berguna ketika Anda harus mengikat domain ke organisasi fisik juga.

Misalnya, berguna bagi lembaga yang awalnya dikenal melalui bangunannya (mis. Bank of America) untuk dapat mengatakan bahwa sertifikat untuk bankofamerica.com memang untuk tempat Anda memberikan uang fisik Anda. Dalam hal ini, masuk akal untuk menggunakan sertifikat OV atau EV. Ini juga dapat bermanfaat jika ada ambiguitas mengenai lembaga mana yang berada di belakang nama domain (mis. Apple.com dan Apple.co.uk), yang lebih penting adalah nama domain yang sama dimiliki oleh saingan/penyerang menggunakan kesamaan nama untuk tujuan yang buruk.

Sebaliknya, www.google.com adalah yang mendefinisikan Google untuk umum; Google tidak perlu membuktikan bahwa google.com milik Google asli. Akibatnya, ia menggunakan sertifikat yang divalidasi domain (sama dengan Amazon.com).

Sekali lagi, ini sangat berguna jika pengguna tahu cara memeriksa ini. Peramban tidak terlalu membantu di sini. Firefox hanya mengatakan "yang dijalankan oleh (tidak dikenal)" jika Anda ingin lebih detail tentang sertifikat di www.google.com, tanpa benar-benar mengatakan apa yang dimaksud dengan ini.

Sertifikat validasi yang diperluas adalah upaya untuk meningkatkan ini, dengan membuat prosedur validasi organisasi menjadi lebih ketat, dan dengan membuat hasilnya lebih terlihat: bilah hijau dan organisasi yang lebih terlihat.

Sayangnya, ini kadang-kadang digunakan dengan cara yang meningkatkan kebingungan, saya pikir. Berikut adalah contoh yang dapat Anda periksa sendiri: salah satu bank besar Inggris (NatWest) menggunakan https://www.nwolb.com/ untuk layanan perbankan on-line-nya. Jauh dari jelas bahwa nama domain milik NatWest (yang juga memiliki lebih logis natwest.co.uk nama, omong-omong). Lebih buruk lagi, validasi diperpanjang (jika Anda memeriksa nama di sebelah bilah hijau) dilakukan terhadap "Royal Bank of Scotland Group plc".

Bagi mereka yang mengikuti berita keuangan, masuk akal karena RBS dan NatWest termasuk dalam kelompok yang sama, tetapi secara teknis, RBS dan NatWest adalah pesaing (dan keduanya memiliki cabang di jalan raya di Inggris - meskipun itu akan berubah). Jika pengguna Anda tidak memiliki pengetahuan ekstra tentang kelompok mana yang berdagang dengan nama mana, fakta bahwa sertifikat dikeluarkan atas nama pesaing potensial harus membunyikan bel alarm. Jika, sebagai pengguna, Anda melihat sertifikat pada gooooogle.com dikeluarkan untuk Microsoft atau Yahoo, betapapun hijaunya bar, Anda tidak boleh menganggap ini sebagai situs Google.

Satu hal yang perlu diingat dengan sertifikat EV adalah konfigurasinya dikodekan ke dalam browser . Ini adalah pengaturan waktu kompilasi, yang tidak dapat dikonfigurasikan nanti (tidak seperti toko sertifikat tepercaya yang normal, di mana Anda dapat menambahkan sertifikat CA kelembagaan Anda sendiri, misalnya). Dari sudut pandang yang lebih sinis, beberapa dapat menganggap ini sebagai cara yang nyaman bagi pemain utama untuk mempertahankan posisi yang kuat di pasar.

43
Bruno

Mereka seharusnya menyampaikan kepercayaan ekstra kepada pengguna bahwa otoritas sertifikat telah melakukan pekerjaan mereka dengan benar. Namun, tujuan utama perpanjangan sertifikat validasi adalah hanya untuk menghasilkan pendapatan tambahan bagi otoritas sertifikat.

Oke, cukup sombong, pada dasarnya mereka harus mengikuti panduan ini sebelum mengeluarkan satu: EV Certificate Guidelines v.1. . Ini mencakup hal-hal seperti mengharuskan memverifikasi pendaftaran dan alamat perusahaan/organisasi, dan untuk mendapatkan akses ke kunci penandatanganan memerlukan otentikasi dua faktor dan setiap itu semua dicatat dengan cermat.

13
ewanm89

Semua otoritas sertifikat (CA) yang dipercaya oleh penyedia aplikasi utama harus mengikuti Persyaratan Dasar yang diterbitkan oleh CABForum untuk penerbitan sertifikat TLS. CA yang ingin mengeluarkan sertifikat Validasi Diperpanjang (EV) harus mengikuti, dan diaudit setiap tahun terhadap, satu set pedoman tambahan dan persyaratan validasi sebelum sertifikat EV mereka dipercaya dan diakui oleh browser mana pun. CA yang menerbitkan sertifikat EV harus terikat untuk $ 1 juta dan diminta untuk memasukkan nama hukum, lokasi pendirian, alamat, dan nomor registrasi (untuk bank ini kadang-kadang nomor registrasi FDIC) dalam sertifikat. Jadi, walaupun terlihat bahwa sertifikat EV hanyalah cara bagi CA untuk menagih lebih banyak uang, ada lebih banyak risiko dan penelitian yang mengarah ke validasi keaslian dan otorisasi pelanggan.

0
sophist2b