<p dir="ltr"><br>
On Mar 20, 2015 4:04 AM, "Gervase Markham" <<a href="mailto:gerv@mozilla.org">gerv@mozilla.org</a>> wrote:<br>
></p>
<p dir="ltr">> 3) The purpose of EV is to place the identity of the website operator in<br>
> the certificate, so that users know who it is they are dealing with when<br>
> they interact with a site. If e.g. Google buy an EV cert for<br>
> *.<a href="http://appspot.com">appspot.com</a> to give EV to all their users, then it would be their<br>
> information inside the cert, not the operator of <a href="http://foo.appspot.com">foo.appspot.com</a> or<br>
> <a href="http://bar.appspot.com">bar.appspot.com</a>. This defeats the point of EV, rendering it effectively<br>
> the same as DV.<br>
><br>
> To look at it another way: we all know how to contact Google, and that<br>
> they are a legitimate business. If <a href="http://mywebshop.appspot.com">mywebshop.appspot.com</a> has an EV cert,<br>
> what I want to know is who is running that business, and how I contact<br>
> _them_ (or what info I can give to the police). Contact info for Google<br>
> is not very useful in that circumstance!<br>
><br>
> Gerv</p>
<p dir="ltr">Of course, as pointed out by a number of people, nothing in the EVGs today actually ensures what you stated in 3 happens.</p>
<p dir="ltr">That is, in this hypothetical world, Google could go out and get EV certs for <a href="http://foo.appspot.com">foo.appspot.com</a>, <a href="http://bar.appspot.com">bar.appspot.com</a>, and <a href="http://mywebshop.appspot.com">mywebshop.appspot.com</a>, all of which would have the exact same information in every field of the certificate, all of which would point to Google.</p>
<p dir="ltr">Whether or not this defeats the point of EV is another matter, and is perhaps a subjective evaluation. However, as it stands, EV has never worked as you describe, so it is entirely consistent to allow wildcards.</p>