8.3.2.1         SSL certifikáty s rozšířenou validací (EV certifikáty)

V souvislosti se zabezpečenou komunikací mezi (webovými) servery a jejich klienty si ještě řekněme o tom, že může existovat více různých druhů SSL certifikátů, které identifikují konkrétní server. Mezi sebou se liší především tím, jak moc a jak důkladně je při jejich vydávání zkoumána identita žadatele a „identita“ serveru, který se bude tímto certifikátem prokazovat.

Certifikáty, kterými se prokazují webové servery a které slouží potřebám vedení SSL relací, jsou obecně komerčními certifikáty (nikoli kvalifikovanými certifikáty). Certifikační autority, které je vydávají, tak mají více prostoru k tomu, aby si individuálně přizpůsobily způsob a „důkladnost“ ověřování identity toho, kdo o takový certifikát žádá. Včetně ověřování údajů o samotném serveru, který se má certifikátem identifikovat.

Může se tak stát například i to, že serverový SSL certifikát bude vydán (jednoznačně a dostatečně) identifikovanému žadateli – ale certifikační autorita si již nebude vůbec ověřovat, zda dotyčný žadatel má možnost (a právo) provozovat server na adrese, která bude v serverovém certifikátu uvedena.

Proto mezi lety 2005 až 2007 vznikla v rámci privátního sektoru iniciativa, sdružující provozovatele certifikačních autorit a výrobce webových browserů, s cílem definovat přísnější požadavky na vydávání serverových SSL certifikátů. Tyto požadavky se týkají jak identifikace samotného žadatele o vydání certifikátu (který se mj. musí dostavit osobně na certifikační autoritu), tak i jeho práva provozovat server na zadané doméně druhého řádu[17].

Ty certifikáty, které jsou vydány za splnění takto zpřísněných podmínek, pak jsou označovány jako certifikáty s rozšířenou validací (EV certifikáty, z anglického Extended Validation). Touto „rozšířenou validací“ je přitom myšleno právě (a pouze) zpřísnění podmínek při vydávání certifikátu, pokud jde o ověření (validaci) žadatele a jeho práva provozovat server na zadané doménové adrese. Jinak, například co do síly kryptografických algoritmů či velikosti klíčů, se takovéto EV certifikáty nijak neliší od „běžných“ serverových SSL certifikátů (pro odlišení někdy označovaných také jako „basic“).

Vzhledem k tomu, že se na celé iniciativě podíleli i výrobci webových browserů[18], mohou být její výsledky přímo „integrovány“ do jejich produktů. Jinými slovy: některé dnešní browsery (nikoli ale všechny) dokáží rozpoznat serverové certifikáty s rozšířenou validací a pracovat s nimi odlišně od „běžných“ (basic) serverových certifikátů.

Konkrétním projevem může být to, jaké informace browser zobrazuje v závislosti na druhu serverového certifikátu.  Jde-li pouze o certifikát „Basic“, pak browser podporující EV certifikáty raději nezobrazuje identitu držitele certifikátu coby provozovatele serveru. Jako kdyby neměl dostatečnou jistotu, že by to odpovídalo pravdě.

Příklad ukazuje následující obrázek, který lze srovnat i s předchozími obrázky: je na něm přístup k serveru, který se prokazuje pouze „základním“ (basic) serverovým SSL certifikátem, a nikoli EV certifikátem.

Obrázek 8 - 21: Příklad serveru, který se prokazuje pouze základním (Basic) serverovým SSL certifikátem

Další obrázek již ukazuje příklad serveru, který se prokazuje EV certifikátem. Zde již jsou údaje o provozovateli serveru řádně uvedeny – a příslušná část adresového řádku je pro odlišení zbarvena do zelena.

Obrázek 8 - 22: Příklad serveru, který se prokazuje serverovým certifikátem s prodlouženou validací (EV certifikátem)