行业新闻与博客

与其他几个证书颁发机构合作，DigiCert 对 EV SSL 验证流程提出了 4 项增强功能

“在互联网上，没人知道你是狗。”

漫画家彼得·施泰纳（Peter Steiner）早在 1993年就在漫画中写下了这些字眼。漫画很有趣，很多人都在笑，但它突出了一个严重的问题，当时这个问题正在发展-欺骗人们很容易通过互联网的匿名性。不幸的是，彼得钉了钉子！如今，这个问题甚至比任何人（甚至是 Peter 所想象的）都要严重得多，每 25 个品牌电子邮件中就有 1 个实际上是网络钓鱼电子邮件。

那么，为什么在线身份如此重要？DigiCert 的建议将如何帮助消费者？

让我们将其散列出来。

为什么在线身份如此重要

互联网上充斥着不知名的演员，很多时候他们要从事邪恶的活动-网络钓鱼，欺凌，cat 鱼，诈骗，骗子，捕食孩子，殴打等等。这就是为什么大多数互联网用户倾向于怀疑与他们不认识的人，网站和公司之间的互动的原因-通常，我们希望了解与我们在线互动的个人和公司的真实身份。

如果您去当地的购物中心并看到一家没有商家名称的商店，您会怎么想？

您会很感兴趣-但是您可能会不信任该公司。您肯定会有一些疑问！客户不信任匿名-他们想知道与谁做生意。

在线上也是如此-客户想知道他们从谁那里购买商品。在您当地的购物中心，很容易分辨出您要购买的是谁–一家实体店就在您面前，上面有标牌和工作人员。但是，在网上，身份可能会……很滑。正如 Steiner 指出的那样，您可以是狗，骗子或捕食者……直到为时已晚，没人知道。

在充满匿名麻烦制造者的环境中，EV SSL 是消费者可以用来自信地查看谁经营网站的好工具，可帮助他们决定是否信任网站所有者。这就是为什么我们强烈支持使 EV SSL 尽可能强大和可用的原因-人们想要 / 需要它能提供什么。这就是为什么我们很高兴看到 DigiCert 领导这项费用来更新和增强 EV SSL 的原因。

DigiCert 的四管齐下的提案，以增强 EV SSL

DigiCert 提出了四种更新和增强 EV SSL 证书的 CA / B 论坛标准的特定方法。这些增强功能将使 EV SSL 更加强大，并满足安全研究人员指出的一些“弱点”。让我们逐一研究它们，看看它们如何帮助所有人提高在线身份：

1.通过 CAA 记录执行验证级别

CAA 记录是一个 DNS 条目，可让网站管理员限制哪些 CA 可以为其域颁发证书。这是对抗影子 IT 证书的绝佳工具-确保组织的证书得到集中管理和授权。

但是当前 CAA 记录只能指定证书颁发机构。DigiCert 提议扩展 CAA 记录，以便域管理员可以控制或限制可以为其域颁发的证书的验证级别。例如，网站管理员可以将其域限制为仅从某个 CA 颁发 EV SSL 证书。

为什么这是有益的：

让我们看一个假设的场景。假设 example.com 雇用了一名自由网页设计师，以 2020年全新的设计来更新他们的博客。该设计师无权为该域颁发 SSL 证书。但是，假设网站设计师安装了 WordPress 文件编辑器插件，因此他们可以完成域控制验证并获得 SSL 证书的颁发。Example.com 现在具有由未授权方颁发的 SSL 证书-他们无法控制该证书或私钥，这是一个重大的安全问题。证书过期后会怎样？

如果 exam​​ple.com 实施了仅将域限制为仅来自 DigiCert CA 的 EV 证书的 CAA 记录，则 Web 设计人员将无法获得该证书的颁发，因为任何尝试获取 CAA 记录中未标识的证书类型的尝试都会失败。

2.在 SSL 证书中包含 LEI 数据

如果您现在有 déjàvu 的感觉，那可能是因为我们早在 2019年10月就提到了这个想法。TL; DR：

LEI 是法人实体标识符，它们是在十年前发生的金融危机之后创建的。它们是 150 个不同国家 / 地区认可的数字代码。整个系统由一家名为 GLEIF 的瑞士非营利组织监督。LEI 可以帮助防止冲突和混乱。现在，我已经听到反对意见的渗入，就像混淆组织名称一样，人们将不知道如何处理 LEI号码。但是有几种解决方法。首先，浏览器可以仅使用 LEI 代码并生成相关信息。当然，这可能需要附加调用，这可能会使浏览器感到厌恶-但这是一个选择。您还可以轻松单击 LEI 编号，然后将其跟踪到包含信息的数据库。这将要求用户采取行动，但有些人可能会觉得有用。但是最重​​要的是，当电子商务网站或其他处理有价值数据的组织没有 LEI 时，它可能会发出警告。”

为什么这是有益的：

将 LEI 添加到 EV SSL 证书有两个主要好处：

添加有关组织的其他信息，并

出于多种原因，为消费者提供了直接研究和验证公司详细信息的方式。

如果您在 LEI 数据库中查找公司，则将获得包含有关该组织的许多详细信息的报告。从基本信息开始：

甚至包括有关子公司和母公司的信息：

最后，此信息已成熟用作另一个数据点来解决任何公司身份保证用例。像 EV SSL 一样，基础架构已经到位，为什么不使用它（或至少考虑一下）来解决这种明显的问题？   

3.标准化用于电动汽车验证的数据源

根据当前的 EV 准则，每个证书颁发机构决定将使用哪些数据源来验证 EV SSL 证书中的组织详细信息。（请记住，他们正在对数百个国家 / 地区的组织进行验证，各个国家 / 地区所使用的数据源的质量可能会有很大差异。）DigiCert 建议 CA / B 论坛指定标准化的清单。可以在 EV 验证过程中使用的可接受数据源。

为什么这是有益的：

使用标准化数据源将提供以下好处：

提高电动汽车验证的一致性和速度，

弥补不良行为者可能使用的一些潜在差距，并且

这可以用作处理命名冲突的基础（这是对 EV 的批评之一，如果您问我的话，出于最小的原因）。

4.在 EV 验证期间包括商标验证

由于 EV SSL 证书旨在向客户显示与他们进行交互的组织的经过验证的身份，因此商标是合乎逻辑的。正如 DigiCert 的 Dean Coclin 所说：

商标是众所周知的，可以理解的，唯一的并且可以验证。消费者可以识别它们，因此，如果浏览器想要在其 UI 中包含商标，他们可以放心地对其进行了正确的验证。如果他们不这样做，那很好，但是任何依赖方都可以进行检查。”

为什么这是有益的：

商标是让消费者确保与自己认为的公司互动的另一种方式。例如，Windex 是 SC Johnson 公司拥有的商标。但是许多消费者可能并不知道 Windex 品牌实际上是庄臣所有。当前的电动汽车指南指出只能说庄臣。但是，如果他们的 EV SSL 证书显示了 Windex 商标，则可能会帮助消费者更加自信自己位于官方网站和预期的网站上。

等式的另一部分：浏览器需要有效的 UI 来显示网站标识信息

最终，为了使 EV SSL 证书发挥最大的潜力来帮助用户，浏览器需要研究，识别和引入更有效的界面来向用户显示身份信息。（顺便说一句，浏览器的身份界面不必仅限于来自 EV 的数据-它可以包含来自其他经过验证的来源的数据，以向消费者提供他们做出明智决定所需的所有数据。）

由于 Chrome 和 Firefox 由于担心它无效而删除了旧的“绿色地址栏”，因此浏览器有责任开发新的 UI，以帮助用户了解谁在运行与之交互的网站。我认为，在不采用可行替代方案的情况下删除 EV 的举动对世界造成了巨大损害。EV 可能并没有帮助 100％的互联网用户，但它确实帮助了 0％以上。这不是完美的，但互联网拥有的一切。这就像在说，由于交通事故仍然发生在交叉路口，因此请不要使用所有交通信号灯，直到我们想到更好的方法为止。由于某种原因，逻辑似乎只是超出了这个范围。

要求浏览器社区认真走到一起并帮助创建一个通用的显示器，似乎可以帮助消费者了解与他们交互的网站的身份，这似乎并不是一个太大的要求。我认为，如果浏览器将用户的利益放在首位，答案将非常容易。

社交媒体网站已经创建了用于在线身份的 UI，让我们向他们学习！

我和团队一起花了 15 分钟的时间，想出了一个半生半熟的想法，这似乎很有意义。电动汽车反对者们最大的挑战之一就是“绿色地址栏”需要接受教育才能理解其实际含义。他们认为应该不需要任何培训或教育，并且应该立即了解它。好吧，在我们讨论的第三分钟，我们意识到过去十年中所有的社交媒体渠道已经向全世界教育了这个确切的问题。社交媒体生态系统认识到身份问题，并在几年前通过引入经过验证的帐户状态符号来解决该问题。已验证的帐户状态将保留给那些特别容易冒充他人身份的公司，品牌或个人的知名帐户。

本文由机器译制