与私人托管的证书颁发机构一起使用EV证书的好处

Question

对于已经实施了自己的内部CA的公司，配置CA 签发EV证书有什么好处吗？

是否有任何SSL代理(如Bluecoat)模仿外部站点(paypal.com)的EV证书，并将其传递给内部用户？

内部管理的EV证书还能提供哪些其他用例、保证或好处？

Answer 1

扩展验证(EV)证书的存在为最终用户提供了更大的保证，即网站就是他们所说的那个人。这是因为证书颁发机构(CA)所遵循的注册过程符合最低标准(http://www.cabforum.org/Guidelines_v1_3.pdf)。

实际的证书特性是相同的EV或没有EV，因此证书本身不提供额外的加密或安全技术。对证书的唯一更改是，浏览器确认为EV的证书实践语句(CPS)。如果CPS对象标识符(OID)匹配已知为EV的OID列表，并且普通证书验证通过，则在浏览器中显示绿色。

对于内部网络，这应该没有什么区别，因为主机和请求者的验证级别通常是相同的。如果这在您的环境中是有意义的，那么，如果您试图提高安全性，那么实现联机证书状态协议(OCSP-http://en.wikipedia.org/wiki/Online_证书_状态_协议)将更有帮助。OCSP由Bluecoat、Windows2008Windows 2008 R2 CA和一系列其他产品支持。

支持从Bluecoat设备截取EV SSL证书是可行的，但用户看到的证书不会将CPS附加到证书上，因此在浏览器中不会出现绿色。

希望这能有所帮助。

Answer 2

应该没有什么区别--一个普通的自我签名证书写着“我告诉你我是我”，而一个电动汽车自签证书说“我真的告诉你我是我”。这两种说法都不一定比另一种更值得信赖，EV是关于CA (you)对证书持有者(也是您)身份的信任程度。

尽管如此，我不会惊讶地发现，一些写得不好的客户端软件不管信任路径如何，都将EV证书视为神奇的不同。

Answer 3

一个普通的SSL证书告诉您：“这实际上是域名example.com”。

EV证书还告诉您：“这个真正的示例有限公司。”

假证书

自“示例有限公司”起是一个官方的合法名称，我猜它可能被认为是滥用商标名称，而示例有限公司可以起诉。(但我也认为，为example.com签发假定期证书违反了样例有限公司的权利。)

我不是律师。

内部使用EV证书的

优势--

浏览器不会在地址栏中显示“bob的名称-计算机.内部域”，而会以绿色显示"Joe's computer“！