5Jul

كيف تتحقق المتصفحات من هويات الموقع وحمايتها من الدجال

هل لاحظت أن متصفحك يعرض أحيانا اسم مؤسسة موقع الويب على موقع ويب مشفر؟هذه علامة على أن الموقع يحتوي على شهادة مصادقة موسعة، مشيرا إلى أنه تم التحقق من هوية الموقع.شهادات

إيف لا توفر أي قوة تشفير إضافية - وبدلا من ذلك، تشير شهادة إيف إلى أن التحقق الشامل من هوية الموقع قد حدث.شهادات سل القياسية توفر القليل جدا من التحقق من هوية موقع ويب.

كيفية عرض المتصفحات شهادات التحقق الممتدة

في موقع ويب مشفر لا يستخدم شهادة التحقق الممتدة، يقول فايرفوكس إن الموقع "يتم تشغيله بواسطة( غير معروف)"

لا يعرض كروم أي شيء بشكل مختلف ويقول إن هوية الموقعتم التحقق منها من قبل سلطة الشهادة التي أصدرت شهادة الموقع.

عندما تكون متصلا بموقع ويب يستخدم شهادة التحقق الممتدة، يخبرك فيريفوكس أنه يتم تشغيله بواسطة مؤسسة معينة.وفقا لهذا الحوار، تحقق فيريسين من أننا متصلون بموقع بايبال الحقيقي، الذي تديره شركة بايبال، Inc.

عندما تكون متصلا بموقع يستخدم شهادة إيف في كروم، يظهر اسم المؤسسة فيشريط العنوان.يخبرنا مربع حوار المعلومات أن هوية بايبال تم التحقق منها بواسطة فيريسين باستخدام شهادة التحقق من الصحة الموسعة.

المشكلة مع شهادات سل

سنوات مضت، استخدمت سلطات الشهادة للتحقق من هوية موقع الويب قبل إصدار شهادة.ستقوم سلطة الشهادة بالتحقق من تسجيل النشاط التجاري الذي يطلب الشهادة، والاتصال برقم الهاتف، والتحقق من أن الشركة كانت عملية مشروعة تطابق الموقع.

بدأت سلطات الشهادة في النهاية بتقديم شهادات "النطاق فقط".كانت هذه أرخص، حيث كان العمل أقل لسلطة الشهادة للتحقق بسرعة من أن الطالب يملك مجالا محددا( الموقع).

بدأت فيشرز في نهاية المطاف الاستفادة من هذا.يمكن للمخادع تسجيل النطاق paypall.com وشراء شهادة النطاق فقط.عندما يتصل المستخدم ل paypall.com، فإن متصفح المستخدم عرض رمز القفل القياسية، وتوفير شعور زائف بالأمن.لم تعرض المتصفحات الفرق بين شهادة النطاق فقط والشهادة التي تضمنت مزيدا من التحقق الشامل من هوية الموقع.

تراجعت ثقة الجمهور في هيئات التصديق للتحقق من مواقع الويب - وهذا مجرد مثال واحد على فشل سلطات التصديق في بذل العناية الواجبة.في عام 2011، وجدت مؤسسة الحدود الإلكترونية أن السلطات شهادة أصدرت أكثر من 2000 شهادات ل "لوكالهوست" - وهو الاسم الذي يشير دائما إلى جهاز الكمبيوتر الخاص بك الحالي.(المصدر) في الأيدي الخطأ، مثل هذه الشهادة يمكن أن تجعل الهجمات في منتصف المتوسطة أسهل.

كيف تختلف شهادات التحقق الممتدة

تشير شهادة إيف إلى أن جهة مصدقة قد تحققت من أن موقع الويب يتم تشغيله بواسطة مؤسسة معينة.على سبيل المثال، إذا حاول أحد المتصيدين الحصول على شهادة إيف ل paypall.com، فسيتم رفض الطلب.

على عكس شهادات سل القياسية، يسمح فقط لسلطات الشهادة التي تجتاز مراجعة مستقلة بإصدار شهادات إيف.تصدر هيئة إصدار الشهادات / منتدى المتصفح( كا / بروزر فورم)، وهي منظمة تطوعية لسلطات التصديق وبائعي المتصفح مثل موزيلا و غوغل و أبل و ميكروسوفت إرشادات صارمة يجب على جميع الجهات المصدرة إصدار شهادات التحقق الممتدة اتباعها.ويمنع ذلك بشكل مثالي سلطات الشهادة من الانخراط في "سباق إلى أسفل" آخر، حيث يستخدمون ممارسات التحقق التراخي لتقديم شهادات أرخص.

باختصار، تتطلب المبادئ التوجيهية من سلطات التصديق التحقق من أن المنظمة التي تطلب الشهادة مسجلة رسميا، وأنها تمتلك النطاق المعني، وأن الشخص الذي يطلب الشهادة يعمل بالنيابة عن المنظمة.وينطوي ذلك على فحص السجلات الحكومية والاتصال بمالك النطاق والاتصال بالمنظمة للتحقق من أن الشخص الذي يطلب الشهادة يعمل للمنظمة.

في المقابل، قد يتضمن التحقق من شهادة النطاق فقط نظرة سريعة على سجلات وويس في النطاق للتحقق من أن المسجل يستخدم نفس المعلومات.ويعني إصدار شهادات لنطاقات مثل "لوكالهوست" أن بعض السلطات المصدقة لا تقوم بذلك حتى التحقق الكثير.إن شهادات إيف هي في جوهرها محاولة لاستعادة ثقة الجمهور في سلطات الشهادة واستعادة دورها كحارس أمن ضد المدمنين.