Kako brskalniki preverijo identitete spletnega mesta in zaščitijo od impostorjev
Ste že kdaj opazili, da vaš brskalnik v šifrirani spletni strani včasih prikaže ime organizacije spletnega mesta? To je znak, da ima spletno mesto razširjeno potrdilo o preverjanju veljavnosti, kar pomeni, da je bila preverjena identiteta spletnega mesta.
Certifikati EV ne zagotavljajo nobene dodatne moči šifriranja - namesto tega je EV potrdilo, da je bilo opravljeno obsežno preverjanje identitete spletne strani. Standardna potrdila SSL zagotavljajo zelo malo preverjanja identitete spletnega mesta.
Kako brskalniki prikazujejo razširjena potrdila veljavnosti
Na šifrirani spletni strani, ki ne uporablja razširjenega potrdila o preverjanju veljavnosti, Firefox pravi, da je spletno mesto »vodeno (neznano)«.
Chrome ne prikaže ničesar drugače in pravi, da je identiteto spletnega mesta preveril overitelj, ki je izdal potrdilo spletnega mesta.
Ko ste povezani s spletnim mestom, ki uporablja razširjeno potrdilo o preverjanju veljavnosti, vam Firefox pove, da ga upravlja določena organizacija. V skladu s tem pogovorom je VeriSign preveril, da smo povezani s pravim spletnim mestom PayPal, ki ga upravlja PayPal, Inc.
Ko ste povezani s spletnim mestom, ki uporablja Chrome v Chromu, se ime organizacije prikaže v naslovni vrstici. V pogovornem oknu z informacijami nam pove, da je identiteto PayPala preverila družba VeriSign z razširjenim potrdilom o potrditvi.
Problem s certifikati SSL
Pred leti so organi za potrdila pred izdajo potrdila preverjali identiteto spletnega mesta. Organ za potrdila bi preveril, ali je podjetje, ki zahteva potrdilo, registrirano, pokliče telefonsko številko in preveri, ali gre za zakonito operacijo, ki ustreza spletnemu mestu..
Sčasoma so organi za potrdila začeli ponujati certifikate »samo za domeno«. Te so bile cenejše, saj je bilo za organ, ki izdaja potrdila, manj dela, da bi hitro preveril, ali je prosilec lastnik določene domene (spletnega mesta).
Phishers so sčasoma začeli izkoriščati to prednost. Fišer lahko registrira domeno paypall.com in kupi potrdilo samo za domeno. Ko je uporabnik povezan s paypall.com, bo brskalnik uporabnika prikazal standardno ikono ključavnice, ki zagotavlja lažen občutek varnosti. Brskalniki niso prikazali razlike med potrdilom samo za domeno in potrdilom, ki je vključevalo obsežnejše preverjanje identitete spletnega mesta.
Javno zaupanje v certifikacijske organe za preverjanje spletnih strani se je zmanjšalo - to je le en primer, ko certifikacijski organi ne opravijo potrebne skrbnosti. V letu 2011 je Electronic Frontier Foundation ugotovila, da so certifikacijski organi izdali več kot 2000 potrdil za »localhost« - ime, ki se vedno nanaša na vaš trenutni računalnik. (Vir) V napačnih rokah lahko takšen certifikat olajša napade človeka v sredino.
Kako se podaljšujejo potrdila o validaciji?
Certifikat EV kaže, da je overitelj potrdil, da spletno mesto upravlja določena organizacija. Na primer, če je phisher poskušal dobiti certifikat EV za paypall.com, bi bila zahteva zavrnjena.
Za razliko od standardnih SSL certifikatov lahko samo certifikacijski organi, ki opravijo neodvisno revizijo, izdajajo potrdila EV. Certifikacijski organ / forum za brskalnike (CA / Browser Forum), prostovoljna organizacija certifikacijskih organov in prodajalcev brskalnikov, kot so Mozilla, Google, Apple in Microsoft, izdaja stroge smernice, ki jih morajo upoštevati vsi certifikacijski organi, ki izdajajo razširjena potrdila. To v najboljšem primeru preprečuje, da bi certifikacijski organi sodelovali v drugi »dirki na dno«, kjer uporabljajo ohlapne postopke preverjanja in ponujajo cenejša potrdila.
Skratka, smernice zahtevajo, da certifikacijski organi preverijo, ali je organizacija, ki zahteva potrdilo, uradno registrirana, da ima v lasti zadevno domeno in da oseba, ki zahteva potrdilo, deluje v imenu organizacije. To vključuje preverjanje vladnih zapisov, stik z lastnikom domene in stik z organizacijo, da se preveri, ali oseba, ki zahteva potrdilo, deluje za organizacijo.
Nasprotno pa lahko preverjanje potrdila samo za domeno vključuje le pogled na whois zapise domene, da se preveri, ali registracijski zavezanec uporablja iste informacije. Izdajanje potrdil za domene, kot je »localhost«, pomeni, da nekateri certifikacijski organi ne opravljajo toliko preverjanja. EV certifikati so v osnovi poskus obnovitve zaupanja javnosti v certifikacijske organe in povrnitev njihove vloge vratnih vrat proti prevarantom.