Kaip naršyklės patvirtina svetainės tapatybes ir apsaugo nuo siuntėjų
Ar kada nors pastebėjote, kad jūsų naršyklė kartais parodo svetainės organizacijos pavadinimą šifruotoje svetainėje? Tai yra ženklas, kad svetainė turi išplėstinį patvirtinimo sertifikatą, nurodantį, kad patvirtinta svetainės tapatybė.
EV sertifikatai nepateikia jokio papildomo šifravimo stiprumo - vietoj to, EV sertifikatas rodo, kad įvyko išsamus svetainės tapatybės patikrinimas. Standartiniai SSL sertifikatai labai mažai tikrina svetainės tapatybę.
Kaip rodomi išplėstiniai patvirtinimo sertifikatai
Šifruotoje svetainėje, kurioje nenaudojamas išplėstinis patvirtinimo sertifikatas, „Firefox“ sako, kad svetainė yra „valdoma (nežinoma)“.
„Chrome“ nieko nerodo kitaip ir sako, kad svetainės tapatybę patvirtino sertifikato institucija, išdavusi svetainės sertifikatą.
Kai esate prisijungę prie svetainės, kurioje naudojamas išplėstinis patvirtinimo sertifikatas, „Firefox“ nurodo, kad ją valdo konkreti organizacija. Pagal šį dialogą „VeriSign“ patvirtino, kad prisijungėme prie „Real PayPal“ svetainės, kurią valdo „PayPal“..
Kai prisijungiate prie svetainės, kurioje „Chrome“ naudojamas EV sertifikatas, organizacijos pavadinimas rodomas jūsų adreso juostoje. Informacijos dialogo lange nurodoma, kad „PayPal“ tapatybę patvirtino „VeriSign“ naudojant išplėstinį patvirtinimo sertifikatą.
Problema su SSL sertifikatu
Prieš metus sertifikato išdavimo institucijos, prieš išduodamos sertifikatą, patikrino svetainės tapatybę. Sertifikato institucija patikrintų, ar įmonė, prašanti sertifikatą, buvo užregistruota, paskambinti telefono numeriu ir patikrinkite, ar įmonė buvo teisėta operacija, atitinkanti svetainę.
Galiausiai sertifikato institucijos pradėjo siūlyti tik „domenų“ sertifikatus. Tai buvo pigesni, nes sertifikatą išduodanti institucija greičiau patikrino, ar prašytojui priklauso konkretus domenas (svetainė).
Mokytojai galiausiai pasinaudojo šia galimybe. „Phisher“ gali užregistruoti domeną paypall.com ir įsigyti tik su domenu susijusį sertifikatą. Kai naudotojas prisijungia prie paypall.com, naudotojo naršyklėje bus rodoma standartinė užrakto piktograma, suteikianti klaidingą saugumo jausmą. Naršyklės neparodė skirtumo tarp tik domeno sertifikato ir sertifikato, kuris apėmė išsamesnį svetainės tapatybės patikrinimą.
Sumažėjo visuomenės pasitikėjimas sertifikavimo institucijomis, kad patikrintų svetaines - tai tik vienas pavyzdys, kai sertifikavimo institucijos nevykdo savo deramo patikrinimo. 2011 m. „Electronic Frontier Foundation“ nustatė, kad sertifikato institucijos išdavė daugiau kaip 2000 „localhost“ sertifikatų - pavadinimą, kuris visada nurodo jūsų dabartinį kompiuterį. (Šaltinis) Netinkamose rankose toks sertifikatas galėtų palengvinti vidurio išpuolius.
Kaip išplėstiniai patvirtinimo sertifikatai yra skirtingi
EV sertifikatas rodo, kad sertifikato institucija patikrino, ar svetainę valdo konkreti organizacija. Pvz., Jei phisher bandė gauti „paypall.com“ EV sertifikatą, prašymas bus atmestas.
Skirtingai nuo standartinių SSL sertifikatų, tik sertifikatus išduodančios institucijos, prašančios nepriklausomą auditą, gali išduoti EV sertifikatus. Sertifikavimo institucija / naršyklės forumas (CA / naršyklės forumas), savanoriška sertifikavimo institucijų ir naršyklės gamintojų organizacija, pvz., „Mozilla“, „Google“, „Apple“ ir „Microsoft“, pateikia griežtas gaires, kurių turi laikytis visos sertifikavimo institucijos, išduodančios išplėstinius patvirtinimo sertifikatus. Tai idealiu atveju neleidžia sertifikatų institucijoms įsitraukti į kitą „lenktynes į apačią“, kur jie naudoja atsipalaidavimo patikrinimo praktiką, kad pasiūlytų pigesnius sertifikatus.
Trumpai tariant, gairėse reikalaujama, kad sertifikato institucijos patikrintų, ar sertifikatą prašanti organizacija yra oficialiai užregistruota, ar ji turi atitinkamą domeną ir kad asmuo, prašantis sertifikato, veikia organizacijos vardu. Tai reiškia, kad reikia patikrinti vyriausybės įrašus, susisiekti su domeno savininku ir susisiekti su organizacija, siekiant patikrinti, ar asmuo, prašantis sertifikato, dirba organizacijai.
Priešingai, tik su domenu susijusio sertifikato patikra gali būti tik domeno domenų įrašų žvilgsnis, siekiant patikrinti, ar registruotojas naudoja tą pačią informaciją. Sertifikatų išdavimas tokioms sritims kaip „localhost“ reiškia, kad kai kurios sertifikatų institucijos netgi netikrina. EV sertifikatai iš esmės yra bandymas atkurti visuomenės pasitikėjimą sertifikatų išdavimo institucijomis ir atkurti jų, kaip prižiūrėtojų, vaidmenį prieš netikėtumus..