ईवी प्रमाणपत्र कोई अतिरिक्त एन्क्रिप्शन शक्ति प्रदान नहीं करते हैं - इसके बजाय, एक ईवी प्रमाण पत्र इंगित करता है कि वेबसाइट की पहचान का व्यापक सत्यापन हुआ है। मानक एसएसएल प्रमाणपत्र वेबसाइट की पहचान का बहुत कम सत्यापन प्रदान करते हैं।
ब्राउज़र्स विस्तारित प्रमाणीकरण प्रमाण पत्र कैसे प्रदर्शित करते हैं
एक एन्क्रिप्टेड वेबसाइट पर जो विस्तारित सत्यापन प्रमाणपत्र का उपयोग नहीं करता है, फ़ायरफ़ॉक्स कहता है कि वेबसाइट "अज्ञात) द्वारा चलायी जाती है।"
एसएसएल प्रमाण पत्र के साथ समस्या
सालों पहले, सर्टिफिकेट अथॉरिटी सर्टिफिकेट जारी करने से पहले वेबसाइट की पहचान सत्यापित करने के लिए इस्तेमाल करते थे। सर्टिफिकेट अथॉरिटी जांच करेगी कि सर्टिफिकेट का अनुरोध करने वाला व्यवसाय पंजीकृत था, फोन नंबर पर कॉल करें और सत्यापित करें कि व्यवसाय एक वैध ऑपरेशन था जो वेबसाइट से मेल खाता था।
आखिरकार, सर्टिफिकेट अथॉरिटी ने "डोमेन-केवल" प्रमाण पत्र पेश करना शुरू किया। ये सस्ता थे, क्योंकि प्रमाण पत्र प्राधिकरण के लिए यह तुरंत जांच करने के लिए कम काम था कि अनुरोधकर्ता के पास एक विशिष्ट डोमेन (वेबसाइट) है।
फिशर्स ने अंततः इसका लाभ उठाना शुरू कर दिया। एक फिशर डोमेन paypall.com पंजीकृत कर सकता है और एक डोमेन-केवल प्रमाणपत्र खरीद सकता है। जब कोई उपयोगकर्ता paypall.com से कनेक्ट होता है, तो उपयोगकर्ता का ब्राउज़र मानक लॉक आइकन प्रदर्शित करेगा, जो सुरक्षा की झूठी भावना प्रदान करेगा। ब्राउज़र ने केवल डोमेन-प्रमाण पत्र और एक प्रमाणपत्र के बीच अंतर प्रदर्शित नहीं किया जिसमें वेबसाइट की पहचान का अधिक व्यापक सत्यापन शामिल था।
सर्टिफिकेट अथॉरिटीज में वेबसाइटों की पुष्टि करने के लिए सार्वजनिक ट्रस्ट गिर गया है - यह सर्टिफिकेट अथॉरिटीज का सिर्फ एक उदाहरण है जो उनकी सावधानी बरतने में असफल रहा है। 2011 में, इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन ने पाया कि प्रमाणपत्र प्राधिकरणों ने "लोकलहोस्ट" के लिए 2000 से अधिक प्रमाणपत्र जारी किए थे - एक ऐसा नाम जो हमेशा आपके वर्तमान कंप्यूटर को संदर्भित करता है। (स्रोत) गलत हाथों में, इस तरह का प्रमाण पत्र मैन-इन-द-बीच हमलों को आसान बना सकता है।
विस्तृत विस्तार प्रमाण पत्र कितने अलग हैं
एक ईवी प्रमाणपत्र इंगित करता है कि एक प्रमाण पत्र प्राधिकरण ने सत्यापित किया है कि वेबसाइट एक विशिष्ट संगठन द्वारा संचालित की जाती है। उदाहरण के लिए, यदि एक फ़िशर ने paypall.com के लिए ईवी प्रमाणपत्र प्राप्त करने का प्रयास किया, तो अनुरोध बंद कर दिया जाएगा।
मानक एसएसएल प्रमाणपत्रों के विपरीत, एक स्वतंत्र लेखा परीक्षा पास करने वाले प्रमाण पत्र प्राधिकरणों को ईवी प्रमाण पत्र जारी करने की अनुमति है। सर्टिफिकेशन अथॉरिटी / ब्राउजर फोरम (सीए / ब्राउजर फोरम), प्रमाणीकरण प्राधिकरणों और मोज़िला, Google, ऐप्पल और माइक्रोसॉफ्ट जैसे ब्राउज़र विक्रेताओं का एक स्वैच्छिक संगठन सख्त दिशानिर्देश जारी करता है कि विस्तारित सत्यापन प्रमाण पत्र जारी करने वाले सभी प्रमाण पत्र प्राधिकरणों का पालन करना होगा। यह आदर्श रूप से सर्टिफिकेट अथॉरिटी को "नीचे की दौड़" में शामिल होने से रोकता है, जहां वे सस्ता प्रमाणपत्र प्रदान करने के लिए लक्स सत्यापन प्रथाओं का उपयोग करते हैं।
संक्षेप में, दिशानिर्देश मांगते हैं कि सर्टिफिकेट अथॉरिटी प्रमाण पत्र का अनुरोध करने वाले संगठन को आधिकारिक तौर पर पंजीकृत किया गया है, कि यह प्रश्न में डोमेन का मालिक है, और प्रमाण पत्र का अनुरोध करने वाले व्यक्ति संगठन की ओर से कार्य कर रहा है। इसमें सरकारी रिकॉर्ड की जांच करना, डोमेन के मालिक से संपर्क करना और संगठन से संपर्क करना शामिल है ताकि यह सत्यापित किया जा सके कि प्रमाण पत्र का अनुरोध करने वाले व्यक्ति संगठन के लिए काम करता है।
इसके विपरीत, डोमेन-केवल प्रमाणपत्र सत्यापन में डोमेन के व्हाइस रिकॉर्ड में केवल एक नज़र शामिल हो सकती है ताकि यह सत्यापित किया जा सके कि पंजीयक एक ही जानकारी का उपयोग कर रहा है। "लोकलहोस्ट" जैसे डोमेन के लिए प्रमाण पत्र जारी करने का तात्पर्य है कि कुछ प्रमाणपत्र प्राधिकरण भी इतना सत्यापन नहीं कर रहे हैं। ईवी प्रमाणपत्र, मूल रूप से, प्रमाण पत्र प्राधिकरणों में सार्वजनिक विश्वास बहाल करने का प्रयास करते हैं और imposters के खिलाफ द्वारपाल के रूप में अपनी भूमिका बहाल करते हैं।
