El experto en seguridad Troy Hunt escribe en su blog que los certificados HTTPS con validación extendida, o EV, no cumplen su objetivo fundamental, que es aumentar la confianza de los usuarios en el sitio web que visitan. Un certificado HTTPS corriente representa únicamente una garantía de que el dominio con el que se establece la comunicación es el mismo para el cual se ha adquirido el certificado en cuestión. En ningún caso constituye una garantía respecto de los propietarios del dominio.
Por lo tanto, para ciberdelincuentes es totalmente factible comprar un dominio para una campaña de phishing, que haya sido cifrado y firmado con un certificado válido, adquirido mediante la organización Let’s Encrypt u otros actores comerciales. En tal caso, se cumplirá una de las dos funciones del cifrado de comunicaciones; es decir, que la comunicación con el servidor es segura, sin que terceros puedan saber qué datos están siendo intercambiados entre el cliente y el servidor.
Sin embargo, el segundo aspecto; es decir, la verificación de la identidad de los propietarios del dominio, no cuenta con garantía alguna. Es precisamente este punto que debería ser garantizado por los certificados EV. La obtención de estos certificados hace necesario un procedimiento en que el emisor del certificado verifica la identidad del propietario del dominio. Esta verificación consiste en acreditar la persona jurídica. Por tratarse de un proceso que difícilmente puede ser automatizado, las empresas que ofrecen certificados EV cobran una tarifa extra por la emisión de los mismos.
El resultado es que el navegador muestra, para el caso de un dominio HTTPS con EV, el nombre de la organización junto al tradicional candado. Según un estudio referido por Troy Hunt, ninguno de los 10 mayores sitios web del mundo utilizan certificados con EV. Por ejemplo, Amazon, la mayor tienda online del mundo, no los utiliza, ni tampoco Google, empresa que ha impulsado la utilización de HTTPS al punto de notificar, mediante su navegador Chrome, cuando un sitio web es seguro o inseguro, queriendo decir que utiliza o no utiliza HTTPS. A partir de octubre próximo, Chrome advertirá al usuario cada vez que este ingrese datos en un formulario inseguro, incluso aquellos de un sólo campo, como suscripciones a newsletters.
Finalmente, Hunt pone de relieve que EV puede crear confusión entre los usuarios de Internet debido a que el nombre de la empresa no siempre coincide con el nombre del dominio. Por ejemplo, para el caso de Diario TI, donde utilizamos HTTPS, el nombre que parecería en la barra de direcciones sería “MPA Publishing International Ltd.” y no “Diario TI”. Para muchos usuarios, esta inconsistencia podría causar sospechas, y en el caso de sitios dedicados al comercio electrónico, podría motivar el temido “abandono del carro de compras”.