注意：我在CertSimple工作，该公司专门为 EV 证书验证站点所有者。

答案是不。Google 目前不使用扩展验证证书。苹果、微软、Twitter、GitHub 和大多数银行都这样做。谷歌没有。

为什么 Google 不使用 EV 证书？

Google 确实在其证书中包含经过验证的合法身份 -该google.com证书是 OV 证书，与 EV 一样，它声称 Google Inc 是证书中公钥的所有者 - 感谢@lie-ryan 注意到这一点。OV 是 EV 的前身，但不向最终用户显示身份的任何视觉指示符。

我经营一家专门从事电动汽车的公司。在与 Google 员工就 EV 进行过多次对话（并且对过去曾在 Google 工作过的文化有所了解）后，答案通常是以下一项或多项：

• Google 自己的证书由 Chrome 自己检查。除非您的 Chrome 二进制文件被更改，否则您不太可能看到伪造的 Google 证书。
• 直到最近，很难为 google.com.mg 或 google.com.im 获得有效的 SSL 证书，因为即使是域验证 CA 在颁发证书时也会做一些最低限度的工作来检查知名公司。这种情况已经改变，因为 CA 现在完全自动化了流程，并且不会执行比基线要求更多的验证工作。
• 惯性：当 90 年代的背景调查被 CA 的域验证所取代时，Google 的原始证书就颁发了。
• 通配符证书的要求 - EV 要求所有域都由 CA 验证并作为 SAN 包含在证书中。虽然成本不是问题（谷歌运行自己的 CA），但流程的变化会。

• 相信最终用户会注意到 DNS 域之间的差异。想象一下在您的浏览器中弹出以下站点：

  一个 https://www.google.co.uk/?gfe_rd=cr&ei=ZAjHVp-sCerW8ge956_YBA

  乙 https://www.google.com.im/?gfe_rd=cr&ei=ZAjHVp-sCerW8ge956_YBA

  C https://www.google.com/?gfe_rd=cr&ei=ZAjHVp-sCerW8ge956_YBA

  D https://security.googleblog.com/

  乙 https://googlehelp.com/

  F https://www.withgoogle.com

  如果不是很明显，A、C、D 和 F 由 Google Inc 控制，B 和 E 不是。

• 相信电动汽车背景调查是缓慢、痛苦和昂贵的。这是真的，尽管我们正在努力解决这个问题。

• 谷歌没有任何关于 Chrome EV UI 有效性的数据，因此不确定它的有效性。
• CA 过去的表现非常糟糕——公司在 2015 年之前销售 IE5 支持，“搜索中的印章”将徽标注入谷歌搜索结果页面，赛门铁克 2015 年的错误发布以及随后的未审计。其中许多事情都对用户怀有极大的敌意。结果，浏览器和 CA 之间甚至是亲用户之间存在不信任，例如帮助 Alice 连接以Bob's Bank Inc陷入友好的火中。
• 由于 AMP 项目出于预取目的在 google.com 上托管内容，许多不受 Google 控制的整页内容现在托管在 google.com 上。这包括网络钓鱼内容（特别是伪造的 Google oauth 页面）。拥有用户生成的整页内容的网站的 EV 证书可能会伤害用户。

回应当前答案的不准确之处

谷歌希望在技术意义上增加安全性，而不是视觉提示。

扩展验证不是通过视觉线索增加安全性：它是通过背景检查增加安全性，背景检查断言合法身份和公钥之间的联系。

HSTS and HPKP keep users safe from all known attacks other than a local system compromise

这是不正确的。EV 将法人实体放入证书中的organizationandjurisdictionOfIncorporatedName字段中。然后将它们显示给浏览器。如果有人注册 yourbank.com.mg 或 yourbank.com.im 或任何其他域，他们将能够获得“域验证”证书。然而，他们将很难通过电动汽车背景调查。HSTS 和 HPKP 不会阻止浏览器连接到虚假站点。

instead Google created HSTS and HPKP  

这是不正确的。HSTS、HPKP 和 EV 有不同的用途：HSTS 防止协议降级攻击，密钥固定防止证书错误，EV 提供法人与证书的关联。这些是不同的目标，一个解决方案绝对对其他目标没有帮助。

EV is marketing. It doesn't provide anything.

这是不正确的。来自EV 指南

EV 证书保证具体包括但不限于以下内容：

(A) 法律存在

(B) 身份

(C) 使用域名的权利

(D) EV证书授权

(E) 信息的准确性

(F) 订户协议

(G) 状态

(H) 撤销

请注意，经过域验证的证书不会断言证书与法人实体之间存在任何联系。即，yourbanklogin.com 上的 DV 证书并未断言该站点与 Your Bank Ltd 有任何关系。

EV signals that the CA claims to have done more work in return

这是误导性的：CA 做了更多的工作。此外，CA 的工作会根据EV 审核标准指南进行审核

不。扩展验证是一种从 CA 获得额外审查的方式，以换取在浏览器中提高知名度。这是 Verisign 等 CA 提供的一项功能，允许他们收取更多费用以换取更彻底的服务。

但 CA 方面的额外彻底性并不是像 Google 这样的公司所追求的。谷歌希望在技术意义上增加安全性，而不是视觉提示。

绿条UI 指示中隐含的任何额外的巧妙之处仅用于在用户已经正确登陆安全页面后增强信任；不管 UI 栏是什么颜色，这些用户都是安全的。需要保护的用户是那些连接不安全的用户，这些用户无法通过任何级别的证书验证得到保护。

因此，Google 创建了 HSTS 和 HPKP 来严格强制在关键域（例如 google.com、accounts.google.com、gmail.com 等）上仅使用有效证书，并确保所有敏感通信仅通过可验证的安全通道进行.

他们为此添加了严格的反网络钓鱼、反欺骗、反恶意软件活动，该活动标记进行恶意操作的站点，并在用户访问已知的不良站点时自动显示警告插页式页面。不完美，但非常有帮助。

最重要的是，他们通过第三方 (yubico) 发明并支持一种第二因素安全令牌，该令牌可靠地不受各种网络钓鱼攻击的影响。使用此令牌，您不会被钓鱼。

总之，这些技术使他们的用户免受所有已知的攻击，而不是本地系统妥协。更重要的是，他们创建的所有安全工具都可供任何人使用，以保护他们自己的平台，因此任何公司都可以保护他们的用户。

这里的共同主题是消除用户的安全负担，这是应该的。EV 证书尝试提供安全性的（旧的和损坏的）方式是在事情进展顺利时向用户提供更多信息。但这不起作用。用户不是他们自身安全的可靠守护者，当他们访问正确的站点时给予他们积极的反馈并不能帮助他们发现他们何时访问了错误的站点。在某些情况下它可能会有所帮助，但总的来说，这是一个非首发和资源浪费。

Google认证实践声明（可在此处获得）表明 CA 遵循CA/浏览器论坛基线，但未提及 扩展验证指南。

此外，还规定 Google CA 可以颁发通配符证书（确实，google.com、youtube.com、android.com 正在使用通配符证书），这对于 EV 证书是不允许的。因此，如果 Google 决定颁发 EV 证书，则应修改 CP 和 CPS。

谷歌不是电动汽车的粉丝。只需在 Twitter 上关注 @sleevi_ 或查看 CA/B 会议记录，您就会看到这一点。

他们的论点似乎是它没有提供任何技术优势，是 CA 的销售和营销，由于额外的安全性而被这些 CA 错误营销，最重要的是，被用户忽略了。

他们还表示，他们可能会因此放弃从 EV 中获得的额外 UI。

这个论点有一些优点，尽管我必须说我不完全同意它。

虽然我同意从技术上讲它们与 DV 或 OV 没有区别，并且大多数用户不会寻找 EV 指标——甚至不会注意到网站是否停止使用 EV，但我确实认为任何额外的 UX 指标都值得考虑——特别是考虑到它们相对便宜的成本。网页设计师花了足够长的时间争论按钮颜色和他们所做的任何销售改进，在我看来，在地址栏上溅满绿色并不是一件坏事！这可能看起来很模糊，而不是基于事实（我希望看到一些更新的、独立的、对电动汽车的研究！）在竞争激烈的在线市场中，每一个调整都很重要。

这就是谷歌有额外差异的地方：

• 他们的大部分服务都是免费的。他们不需要信用卡即可使用。所以人们不假思索地使用它们。一个电子商务网站，一个额外的保证可能是销售与否的区别，可能很容易看到 EV 证书的价值。
• 谷歌具有出色的名称识别能力。“鲍勃的榜样公司。” 不得。
• 谷歌拥有大量工程师，运行着互联网上最流行的浏览器，并且拥有自己的 CA，因此可以实现 HSTS、HPKP 甚至将它们直接烘焙到 Chrome 中。预加载 HSTS 和 HPKP 不是我建议大多数网站做的事情，因为他们没有技术专长和资源来防止搞砸！老实说，我根本不是 HPKP 的粉丝。风险太大，回报太少。但这是另一个论点。
• 谷歌有很多肌肉。如果 CA 错误地为 Google 域颁发了证书，他们就会对他们轻描淡写，对它们添加额外的限制，或者干脆让它们停业。

这些使谷歌处于与大多数其他公司截然不同的境地。

最后，还有现在的技术原因，EV更好。不是因为它是 EV，而是因为它们是如何实现的，或者浏览器需要什么来显示额外的 EV UI。例如，对于 EV 状态，CT 是强制性的，但对于 DV 或 OV 还不是。正如我所说，这与 EV 本身无关，但确实让您更早地接触到新技术。同样，运行自己的 CA 的 Google 不需要为自己的 OV 证书实施这些。