¿O son solo un intento de hacer que pague más dinero a una CA porque le dice a su navegador que muestre la barra de direcciones en verde con el nombre de su organización?
Además, ¿cuáles son los detalles técnicos de los certificados EV? ¿Qué hace que un certificado contenga EV en los detalles del certificado?
Que los certificados EV son "más seguros" es definitivamente el mensaje que la CA calificada para EV está tratando de hacer valer, así es como justifican que los certificados EV tengan precios más altos. Si los certificados EV realmente mejoran la situación de seguridad es discutible. Vea, por ejemplo, esta crítica de Peter Gutmann (citada en la página de Wikipedia ):
La introducción ... de los llamados certificados de alta garantía o validación extendida (EV) que permiten a las AC cobrar más por ellos que los estándares, es simplemente un caso de redondeo el doble del número habitual de sospechosos, probablemente de alguien. Quedará impresionado con él, pero el efecto sobre el phishing es mínimo, ya que no está solucionando ningún problema que los phishers estén explotando. De hecho, los cínicos dirían que este era exactamente el problema que los certificados y las AC debían resolver en primer lugar, y que los certificados de "alta seguridad" son solo una forma de cobrar una segunda vez por un servicio existente. Hace algunos años, los certificados todavía cuestan varios cientos de dólares, pero ahora que la línea de base cambiante de los precios y la calidad de los certificados se ha movido al punto en que puede obtenerlos por $ 9.95 (o incluso por nada) las grandes AC comerciales han tenido que reinventar ellos mismos definiendo una nueva norma y convenciendo al mercado para que vuelva a los precios pagados en los viejos tiempos.
Este enfoque deja-vu-todo-sobre-otra vez se puede ver al examinar la declaración de práctica de certificado (CPS) de Verisign, el documento que rige la emisión de su certificado. Los requisitos de seguridad en el CPS del certificado EV 2008 (excepto las pequeñas diferencias entre los términos legales utilizados para expresarlos) son prácticamente idénticos a los requisitos para los certificados de Clase 3 enumerados en la versión 1.0 CPS de Verisign desde 1996. Los certificados del EV simplemente hacen retroceder el reloj para el enfoque que ya había fallado la primera vez que se probó en 1996, restableció el cambio de línea de base y cobró los precios de 1996 como efecto secundario. Incluso ha habido propuestas para un tipo de enfoque de ventana deslizante para el valor del certificado en el cual, debido a que la inevitable carrera hacia el fondo reduce el valor efectivo de las clases de certificados establecidas, el software que las usa las considera cada vez menos efectivas. ...
La teoría es que los certificados EV se emiten solo después de una verificación más exhaustiva de la identidad del solicitante, por lo que los certificados EV deberían ser más seguros en el siguiente sentido: conseguir uno falso Por otro lado, parece que los atacantes existentes realmente no se molestan en obtener certificados SSL falsos, por lo que el aumento de la seguridad es, de hecho, teórico.
En la práctica, la necesidad de un certificado EV (en lugar de un certificado no EV) para su servidor no proviene de una necesidad real de seguridad, sino de una necesidad real de una barra verde. Se trata de convencer a los clientes de que gastar su dinero en su sitio es "seguro".
Los certificados EV son más seguros que los regulares , porque mientras que los certificados ordinarios se validan con la lista completa de < a href="https://en.wikipedia.org/wiki/Root_certificate"> certificados raíz en el navegador web, los certificados de Validación ampliada solo se comparan con una lista más limitada de certificados que tienen permiso para firmar certificados EV .
Sin embargo, esto no funciona como se espera en todos los navegadores. Específicamente, mientras Chrome y Firefox implementan esto correctamente, Internet Explorer permite la instalación de certificados que pueden mostrarse como EV, aunque, en realidad, no lo son.
Si bien el usuario 2428118 tiene razón, hay menos proveedores que proporcionan certificados EV que realmente no hacen ninguna diferencia en la seguridad.
La conexión se encripta igualmente bien usando un certificado estándar (asumiendo el mismo tamaño de clave, etc.). La validación extendida está ahí para el nivel de personas, no para la tecnología. Proporciona a los usuarios y a la gerencia un sentimiento cálido y difuso. Algunas organizaciones se preocupan por eso. En su mayor parte, solo lo defiendo en sitios que aceptan datos de tarjetas de crédito.
Ver mi respuesta a continuación para más detalles.
Lea otras preguntas en las etiquetas public-key-infrastructure tls certificates certificate-authority