Para las compañías que han implementado su propia CA interna, ¿hay algún beneficio al configurar esa CA para emitir un certificado EV ?
¿Los proxy SSL (como Bluecoat) imitan el certificado EV del sitio externo (paypal.com) y se lo pasan al usuario interno?
¿Qué otros casos de uso, garantías o beneficios podría ofrecer un certificado de EV administrado internamente?
Existen certificados de Validación extendida (EV) para dar al usuario final una mayor seguridad de que el sitio web es quien dice ser. Esto se debe a que el proceso de inscripción seguido por la Autoridad de certificación (CA) cumple con el estándar mínimo (http://www.cabforum.org/Guidelines_v1_3.pdf).
Las características reales del certificado son el mismo EV o ningún EV, por lo que el certificado en sí mismo no proporciona tecnología adicional de cifrado o seguridad. El único cambio en el certificado es que una Declaración de práctica de certificado (CPS) que el navegador reconoce como EV. Si el identificador de objeto (OID) de CPS coincide con una lista de OID que se sabe que son EV y la validación normal del certificado pasa, se muestra el verde en el navegador.
Para una red interna, esto no debería hacer ninguna diferencia porque el nivel de verificación del host y del solicitante normalmente es el mismo. Si tiene sentido en su entorno por todos los medios, sin embargo, si está tratando de aumentar la seguridad, entonces implemente el Protocolo de estado de certificado en línea (OCSP - enlace ) sería más útil. OCSP es compatible con Bluecoat, Windows 2008 R2 CA y una gama de otros productos.
El soporte para interceptar certificados EV SSL de un dispositivo Bluecoat funciona, pero el certificado visto por el usuario no tendrá un CPS adjunto al certificado, por lo que no aparecerá en verde en el navegador.
Espero que esto ayude.
No debería haber ninguna diferencia : un certificado autofirmado regular dice "Te digo que soy yo", mientras que un certificado autofirmado de EV dice "I'm realmente diciéndote que soy definitivamente yo ". Ninguna de las dos declaraciones es más o menos confiable que la otra, y EV es sobre el nivel de confianza que el CA (usted) tiene en la identidad del titular del certificado (también usted).
Dicho esto, no me sorprendería descubrir que algún software cliente mal escrito trata los certificados EV como mágicamente diferentes, independientemente de la ruta de confianza.
Un certificado SSL regular le dice: "este es realmente el nombre de dominio example.com "
El certificado EV también le dice: "esto realmente Example Ltd. "
Desde "Example Ltd." es un nombre legal oficial, mi suposición es que podría considerarse un mal uso de un nombre comercial, y Example Ltd. podría demandar. (Pero también creo que emitir certificados regulares falsos para example.com va en contra de los derechos de Example Ltd.)
NO soy un abogado.
En lugar de mostrar " nombre-de-bob's-computer.internal-domain " en la barra de direcciones, el navegador mostrará " la computadora de Joe " en verde. / p>
Lea otras preguntas en las etiquetas tls certificates corporate-policy certificate-authority proxy