5Jul
Kas olete kunagi märganud, et teie brauser kuvab mõnikord veebisaidi organisatsiooni nime krüptitud veebisaidil? See on märge selle kohta, et veebisaidil on laiendatud valideerimistõend, mis näitab, et veebisaidi identiteet on kinnitatud.
EV-sertifikaadid ei anna mingit täiendavat krüptimise tugevust - selle asemel näitab EV-sertifikaat, et veebisaidi identiteet on ulatuslikult kontrollitud. Standardsete SSL-sertifikaatide korral on veebisaidi identiteet väga vähe kontrollitud.
Kuidas brauserid kuvavad laiendatud valideerimistunnuseid
Krüptitud veebisaidil, kus ei laiendatud valideerimistõendit, ütleb Firefox, et veebisaiti haldab( tundmatu).
Chrome ei näita midagi erinevat ja ütleb, et veebisaidi identiteetkinnitas veebisaidi väljaandnud sertifitseerimisasutus.
Kui olete ühendatud laiendatud valideerimistõendit kasutava veebisaidiga, ütleb Firefox, et seda haldab konkreetne organisatsioon. Selle dialoogi kohaselt kinnitas VeriSign, et oleme ühendatud reaalse PayPali veebisaidiga, mida haldab PayPal, Inc.
Kui olete ühenduses veebisaidiga, mis kasutab EV-sertifikaati Chrome'is, ilmub teie organisatsiooni nimi teieaadressiriba. Teabevahetus näitab meile, et VeriSign kinnitas PayPali identiteeti laiendatud valideerimistõendiga.
Probleem SSL-sertifikaatidega
Aastaid tagasi kasutasid sertifitseerimisasutused enne sertifikaadi väljaandmist veebisaidi identiteedi kontrollimiseks. Sertifitseerimisasutus kontrollib, kas sertifikaadi taotletav ettevõte on registreeritud, helistage telefoninumbrile ja veenduge, et ettevõte on õigustatud toiming, mis vastab veebisaidile.
Lõpuks hakkasid sertifikaadiasutused pakkuma domeenisiseseid sertifikaate. Need olid odavamad, kuna sertifitseerimisasutusel oli vähem tööd, et kiiresti kontrollida, kas taotlejal on konkreetne domeen( veebisait).Lõpuks hakkasid
püüdjad selle ära kasutama. Phisher võiks registreerida domeeni paypall.com ja osta domeenisisese sertifikaadi. Kui kasutaja kasutajaga paypall.com on ühendatud, näitab kasutaja brauser standardluku ikooni, mis annab vale turvatunde. Brauserid ei näita erinevust ainult domeenisisese sertifikaadi ja sertifikaadi vahel, mis hõlmasid veebisaidi identiteedi ulatuslikumat kontrollimist.
Avalikkuse usaldamine sertifitseerimisasutustes veebisaitide kontrollimiseks on langenud - see on vaid üks näide sertifikaadi asutustest, kes ei teinud nõuetekohast hoolsust.2011. aastal leidis Electronic Frontier Foundation, et sertifikaadi asutused on välja andnud üle 2000 sertifikaadi kohalikule huumorile - nime, mis alati viitab teie praegusele arvutile.(Allikas) Sellises sertifikaadis võib valedes kätes olla lihtsam käsimõistetu rünnakud.
Kui laiendatud valideerimisdokumendid on erinevad
EV-sertifikaat näitab, et sertifitseerimisasutus on kinnitanud, et veebisaiti haldab konkreetne organisatsioon. Näiteks kui phisher proovis saada paypal.com-i jaoks EV-sertifikaadi, siis taotlus lükatakse tagasi.
Erinevalt standardsetest SSL-sertifikaatidest on EV sertifikaatide väljaandmiseks lubatud ainult sertifitseerimisasutused, kes annavad sõltumatu auditi. Sertifitseerimisorganite ja brauseriteenuste vabatahtlik organisatsioon, nagu Mozilla, Google, Apple ja Microsoft, sertifitseerimisasutus / brauserifoorum( CA / Browser Forum) avaldavad ranged juhised, millele peavad järgnema kõik sertifikaadi väljaandjad, kes väljastavad laiendatud valideerimistunnistusi. See ideaaljuhul takistab sertifitseerimisasutustel osaleda teise "altpoolt rassi", kus nad kasutavad madalamaid sertifikaate pakkuvatel kontrollimise tavadel.
Kokkuvõttes nõutakse suunistes, et sertifikaadiasutused kontrollivad, kas sertifikaati taotlev organisatsioon on ametlikult registreeritud, et ta omab kõnealust domeeni ja et sertifikaadi taotleja tegutseb organisatsiooni nimel. See hõlmab valitsuse dokumentide kontrollimist, domeeni omanikuga ühendust võtmist ja organisatsiooni kontakteerumist, et kontrollida, kas sertifikaati taotlev isik töötab organisatsiooni jaoks.
Seevastu ainult domeenisisene sertifikaadi kontroll võib tähendada ainult domeeni Whois-registrite pilti, et kontrollida, kas registreerija kasutab sama teavet. Selliste domeenide nagu "localhost" sertifikaatide väljaandmine tähendab, et mõned sertifikaadiasutused ei tee isegi seda suurt kinnitust. EV-sertifikaadid on põhimõtteliselt katse taastada usaldus tunnustatud asutuste vastu ja taastada nende roll tõkendite vastu võitlejate vastu.