SSL es la validación extendida más segura?

No hacen que la conexión sea más segura en cuanto a que el cifrado es difícil de romper, pero sí lo hacen más seguro porque es menos probable que un intruso pueda engañar a una CA para que emita un certificado error.

El nivel de validación se trata completamente de ganarse la confianza de sus usuarios. Personalmente, solo hago una validación básica, pero eso es solo validar un nombre o un dominio la mayor parte del tiempo. Saber que realmente estoy hablando con el servidor www.iamevil.com realmente no ayuda a infundir confianza. La validación de negocios le permite hacer que el certificado use el nombre de la empresa y demuestra que estoy hablando con una organización real. La validación extendida hace que la barra verde se presente en la mayoría de los navegadores, lo que indica que existe un alto grado de confianza en la identidad de la parte con la que se están comunicando.

Se supone que una autoridad de certificación debe verificar la identidad de quien solicita un certificado antes de emitir (firmar) ese certificado; un certificado que contenga el nombre www.example.com se otorgará solo a una entidad que efectivamente "posee" el dominio example.com . Un Certificado de Validación Extendida es un certificado donde la CA hizo la verificación de identidad más exhaustivamente.

Teóricamente, esta validación adicional hace que sea más difícil para los atacantes obtener certificados falsos para dominios que no son de su propiedad. En la práctica, esto realmente no aumenta la seguridad por dos razones:

1. Esta validación adicional bloqueará a los atacantes solo si los usuarios finales lo aplican. Es decir, podría comprar un certificado EV para su servidor, pero el atacante, supuestamente, solo podrá engañar a la AC para que emita un certificado falso que no sea EV. Y qué ? El atacante ejecutará su sitio web falso con el certificado falso no EV. Nada ha cambiado, a menos que el usuario final (el pobre que está a punto de ver su cuenta bancaria descifrada) se asegure de que se conecte solo a un sitio bancario certificado por EV, y se niegue a escribir su contraseña si su navegador no muestra la contraseña. cosita extra-verde. Los usuarios reales no hacen eso. En el mejor de los casos, la mayoría de los usuarios se abstendrán si reciben una advertencia explícita, roja y aterradora; pero esperar que los usuarios reaccionen ante la simple falta de un rectángulo verde es demasiado optimista.

2. El phishing, como se hace hoy, no utiliza certificados falsos. Obtener un certificado falso es demasiado problema. El 99% del phishing consiste en mostrar un sitio que no sea SSL ( http:// , no https:// ) a la víctima y esperar que la víctima no se dé cuenta. Funciona bien. Después de todo, si el phisher puede saquear las cuentas bancarias de solo, digamos, el 10% de las víctimas más crédulas, entonces ... el phisher todavía se hace rico.

Peter Gutmann llama a los certificados EV una ilustración del efecto PKI-me-harder ; La principal consecuencia es que la CA comercial puede cobrar más por los certificados, en nombre de una mejor solución de un problema que no teníamos antes.

El usuario final es el elemento importante aquí. Necesitará un certificado EV cuando (si) los usuarios finales comienzan a requerir el elemento gráfico verdoso, y gasten su dinero en otra parte si no lo ven (y, en ese momento , sería ridículo afirmar que los certificados EV realmente aumentan la seguridad). No veo que esas cosas sucedan pronto. A menos que los proveedores de navegadores se pongan de acuerdo con la gran CA comercial para hacer que el certificado que no es de EV parezca rojo y aterrador.     

Como AJ dice que no tiene ningún impacto en el nivel de encriptación, pero está destinado a proteger el modelo de confianza que sustenta a SSL / TLS.

Para la mayoría de los sitios que usan SSL, la consideración primordial es cómo los clientes perciben esto. AFAIK no hay una diferencia visible entre los 2 primeros, pero EV agrega una cosa verde a tu barra de ubicación en la mayoría de los navegadores. Si esto realmente marca una diferencia para los usuarios, no lo sé, no es sorprendente que las CA afirman que sí, pero he visto poca evidencia para respaldar esto. Recuerdo haber leído un artículo de investigación hace varios años en el que los investigadores descubrieron que más usuarios pensaban que un sitio era más seguro si contenía una imagen de un candado que si se publicara a través de HTTPS.

Por lo tanto, el valor está en la percepción del usuario.

Este documento de 2007 dice que los usuarios no pueden notar la diferencia , mientras Geocerts afirma que otro estudio en 2007 dijo que tuvo un impacto.

Me gustaría pensar que los usuarios se están volviendo más sofisticados y, por lo tanto, es probable que esto cambie con el tiempo. Pero tendrá que investigar un poco el dispositivo si hay un beneficio medible (o ejecutar una prueba A / B)

Una razón menos conocida por la que SSL EV es más seguro es porque SSL EV no se puede falsificar instalando una CA raíz fraudulenta en el sistema. Las CA raíz que son de confianza para EV están codificadas en el navegador.