Pernahkah Anda memperhatikan bahwa browser Anda terkadang menampilkan nama organisasi situs web di situs web terenkripsi? Ini adalah tanda bahwa situs web memiliki sertifikat validasi tambahan, yang menunjukkan bahwa identitas situs web telah diverifikasi.
Sertifikat EV tidak memberikan kekuatan enkripsi tambahan - sebagai gantinya, sertifikat EV menunjukkan bahwa verifikasi ekstensif identitas situs web telah terjadi. Sertifikat SSL standar memberikan sedikit verifikasi identitas situs web.
Pada situs web terenkripsi yang tidak menggunakan sertifikat validasi tambahan, Firefox mengatakan bahwa situs web "dijalankan oleh (tidak diketahui)."
Chrome tidak menampilkan apa pun yang berbeda dan mengatakan bahwa identitas situs web diverifikasi oleh otoritas sertifikat yang menerbitkan sertifikat situs web.
Saat Anda terhubung ke situs web yang menggunakan sertifikat validasi tambahan, Firefox memberi tahu Anda bahwa ini dijalankan oleh organisasi tertentu. Menurut dialog ini, VeriSign telah memverifikasi bahwa kami terhubung dengan situs web PayPal yang nyata, yang dijalankan oleh PayPal, Inc.
Saat Anda terhubung ke situs yang menggunakan sertifikat EV di Chrome, nama organisasi muncul di bilah alamat Anda. Dialog informasi memberitahu kita bahwa identitas PayPal telah diverifikasi oleh VeriSign menggunakan sertifikat validasi tambahan.
Bertahun-tahun yang lalu, otoritas sertifikat digunakan untuk memverifikasi identitas situs web sebelum mengeluarkan sertifikat. Otoritas sertifikat akan memeriksa apakah bisnis yang meminta sertifikat itu terdaftar, menghubungi nomor telepon, dan memverifikasi bahwa bisnis itu adalah operasi sah yang cocok dengan situs web.
Akhirnya, otoritas sertifikat mulai menawarkan sertifikat "khusus domain". Ini lebih murah, karena itu kurang bekerja untuk otoritas sertifikat untuk segera memeriksa bahwa pemohon memiliki domain tertentu (situs web).
Phisher akhirnya mulai mengambil keuntungan dari ini. Seorang phisher dapat mendaftarkan domain paypall.com dan membeli sertifikat khusus domain. Ketika seorang pengguna terhubung ke paypall.com, browser pengguna akan menampilkan ikon kunci standar, memberikan rasa aman yang salah. Browser tidak menampilkan perbedaan antara sertifikat hanya domain dan sertifikat yang melibatkan verifikasi identitas situs web yang lebih luas.
Kepercayaan publik pada otoritas sertifikat untuk memverifikasi situs web telah jatuh - ini hanyalah satu contoh dari otoritas sertifikat yang gagal melakukan uji tuntas mereka. Pada tahun 2011, Electronic Frontier Foundation menemukan bahwa otoritas sertifikat telah mengeluarkan lebih dari 2000 sertifikat untuk "localhost" - sebuah nama yang selalu mengacu pada komputer Anda saat ini. (Sumber) Di tangan yang salah, sertifikat seperti itu bisa membuat serangan man-in-the-middle menjadi lebih mudah.
Sertifikat EV menunjukkan bahwa otoritas sertifikat telah memverifikasi bahwa situs web dijalankan oleh organisasi tertentu. Misalnya, jika phisher mencoba mendapatkan sertifikat EV untuk paypall.com, permintaan akan ditolak.
Tidak seperti sertifikat SSL standar, hanya otoritas sertifikat yang lulus audit independen yang diizinkan untuk mengeluarkan sertifikat EV. Otoritas Sertifikasi / Forum Browser (CA / Forum Browser), sebuah organisasi sukarela dari otoritas sertifikasi dan vendor browser seperti Mozilla, Google, Apple, dan Microsoft mengeluarkan panduan ketat bahwa semua otoritas sertifikat yang mengeluarkan sertifikat validasi tambahan harus mengikuti. Idealnya, ini mencegah otoritas sertifikat terlibat dalam "perlombaan ke bawah" lainnya, di mana mereka menggunakan praktik verifikasi yang longgar untuk menawarkan sertifikat yang lebih murah.
Singkatnya, pedoman menuntut otoritas sertifikat memverifikasi organisasi yang meminta sertifikat secara resmi terdaftar, bahwa ia memiliki domain yang dipermasalahkan, dan bahwa orang yang meminta sertifikat bertindak atas nama organisasi. Ini melibatkan pemeriksaan catatan pemerintah, menghubungi pemilik domain, dan menghubungi organisasi untuk memverifikasi bahwa orang yang meminta sertifikat itu bekerja untuk organisasi.
Sebaliknya, verifikasi sertifikat khusus domain mungkin hanya melibatkan pandangan sekilas pada catatan whois domain untuk memverifikasi bahwa pendaftar menggunakan informasi yang sama. Penerbitan sertifikat untuk domain seperti "localhost" menyiratkan bahwa beberapa otoritas sertifikat bahkan tidak melakukan verifikasi sebanyak itu. Sertifikat EV, pada dasarnya, merupakan upaya untuk memulihkan kepercayaan publik pada otoritas sertifikat dan mengembalikan peran mereka sebagai penjaga gawang terhadap penipu.