扩展验证证书旨在更直观地向用户显示其颁发给的机构。证书本身的技术方面与验证它们的应用程序用户界面中的视觉线索相结合：绿色条和浏览器中位置栏旁边的可见名称。

例如，http://www.paypal.com/上的 EV 证书会使浏览器显示绿色条并显示“PayPal, Inc.”。在它的旁边。这不仅旨在将证书链接到域所有者（就像标准的域验证证书一样），而且还将其链接到更实体的机构（此处为 PayPal，Inc.）。为此，CA 必须验证指定机构确实是拥有该域的机构。

最终，这更多的是在域名和公司名称之间建立一个更经过验证的链接，而不是制作“更安全”的证书。从密码套件的角度来看（这是决定加密算法和密钥大小的因素），EV 证书与 DV 证书没有什么不同（蓝色条）。

退后一步，您需要意识到 HTTPS 的有效性依赖于用户检查它是否被正确使用。（服务器无法确定客户端是否是 MITM 攻击的受害者，除非也使用客户端证书。）这意味着用户必须：

• 检查是否在他们期望的时候使用了 HTTPS，
• 检查没有警告，
• 检查他们正在使用的网站确实是他们打算访问的网站，这导致了几个子点：
  • 检查这是他们期望的域名，
  • 检查域名是否属于他们期望的公司。

EV 证书旨在解决最后一个子问题。如果您已经知道amazon.com属于 Amazon.com, Inc. 或google.com属于 Google Inc.，那么您实际上并不需要它们。

我个人并不认为这种方法完全有效，因为它们可能会被滥用（参见下面的 NatWest/RBS 示例），并且一些 CA 似乎传播了关于它们的真正含义的模糊（并且可能具有误导性）信息，以努力促进他们。

一般来说，如果您的用户已经知道您的域名是您的，那么您就不需要一个。

以下是我之前对类似问题的回答中的更多详细信息：

[...]

经域验证的证书可向您保证该证书已颁发给该域的所有者。不多，但不少（我假设验证程序在这里是正确的）。在许多情况下，这已经足够了。这一切都取决于您正在推广的网站是否需要链接到一个已经众所周知的离线机构。当您也需要将域绑定到物理组织时，针对组织验证的证书（OV 和 EV 证书）主要有用。

例如，对于最初通过其建筑物（例如美国银行）而闻名的机构来说，能够说证书bankofamerica.com确实适用于您提供实物资金的地方，这很有用。在这种情况下，使用 OV 或 EV 证书是有意义的。如果域名背后的机构存在歧义（例如apple.com 和apple.co.uk），这也很有用，更重要的是相似的域名由竞争对手/攻击者拥有，出于不良目的使用名称相似性。

相比之下，www.google.com谷歌对公众的定义是什么；Google 没有必要证明它google.com属于真正的 Google。因此，它使用了一个域验证的证书（同样适用于amazon.com）。

同样，如果用户知道如何检查，这真的很有用。浏览器在这里并没有真正的帮助。如果您想了解更多关于证书的详细信息，Firefox 只会说“由（未知）运行” www.google.com，而没有真正说明这是什么意思。

扩展验证证书试图通过使组织验证程序更严格，并使结果更明显：绿条和更明显的组织来改善这一点。

不幸的是，我认为这有时会增加混乱。这是一个您可以自己检查的示例：英国的一家大型银行 (NatWest) 将其https://www.nwolb.com/ 用于其在线银行服务。域名属于 NatWest（顺便说一下，他也拥有更合乎逻辑的 natwest.co.uk名称）这一点并不明显。更糟糕的是，扩展验证（如果您检查绿色栏旁边的名称）是针对“苏格兰皇家银行集团 plc”进行的。

对于那些关注财经新闻的人来说，这是有道理的，因为 RBS 和 NatWest 属于同一个集团，但从技术上讲，RBS 和 NatWest 是竞争对手（并且都在英国的大街上设有分支机构——尽管这会改变）。如果您的用户不知道哪些集团以哪个名称进行交易，那么以潜在竞争对手的名义颁发证书这一事实应该敲响警钟。如果作为用户，您看到 gooooogle.com颁发给 Microsoft 或 Yahoo 的证书，无论该栏是绿色的，您都不应将此视为 Google 的站点。

EV 证书要记住的一点是，它们的配置是硬编码到浏览器中的。这是一个编译时设置，以后无法配置（与普通的受信任证书存储不同，例如，您可以在其中添加自己的机构 CA 证书）。从更愤世嫉俗的角度来看，有些人可能会认为这是主要参与者在市场上保持强势地位的便捷方式。

他们应该向用户传达额外的信任，即证书颁发机构已经正确完成了他们的工作。然而，扩展验证证书的主要目的实际上只是为证书颁发机构创造额外收入。

好吧，够啰嗦了，基本上他们在发布之前必须遵循这些指南：EV 证书指南 v.1.3。它涵盖了诸如要求验证公司/组织注册和地址之类的内容，并且要访问签名密钥需要双重身份验证，并且每一项都经过精心记录。

主要应用程序提供商信任的所有证书颁发机构 (CA) 都需要遵循 CABForum 发布的用于颁发 TLS 证书的基线要求。想要颁发扩展验证 (EV) 证书的 CA 必须遵循一组额外的准则和验证要求并每年接受审计，然后他们的 EV 证书才能被任何浏览器信任和识别。颁发 EV 证书的 CA 必须以 100 万美元保税，并且需要在证书中输入法定名称、注册地、地址和注册号（对于银行，这有时是 FDIC 注册号）。因此，虽然看起来 EV 证书只是 CA 收取更多费用的一种方式，