5Jul
Už jste si někdy všimli, že váš prohlížeč někdy zobrazuje název organizace na šifrované webové stránce? Toto je znamení, že web má rozšířený ověřovací certifikát, který označuje, že totožnost webu byla ověřena. Certifikáty
EV neposkytují žádnou další šifrovací sílu - namísto toho certifikát EV indikuje, že došlo k rozsáhlému ověření identity webu. Standardní SSL certifikáty poskytují velmi málo ověření identity webu.
Jak prohlížeče zobrazují certifikáty rozšířené validace
Na šifrovaných webových stránkách, které nepoužívají rozšířený ověřovací certifikát, Firefox říká, že web je "spuštěn( neznámé)."
Chrome nezobrazuje nic jiného a říká, že totožnost webubyla ověřena certifikační autoritou, která vydala certifikát webu.
Když jste připojeni k webu, který používá rozšířený certifikát ověření, Firefox vám řekne, že je spuštěn konkrétní organizací.Podle tohoto dialogu společnost VeriSign ověřila, že jsme připojeni k reálnému webu služby PayPal, který provozuje společnost PayPal, Inc.
Když jste připojeni k webu, který používá certifikát EV v prohlížeči Chrome, zobrazí se název organizace ve vašemadresní lišta. Informační dialog nám říká, že identita PayPal byla ověřena VeriSign pomocí rozšířeného ověřovacího certifikátu.
Problém s certifikáty SSL
Již před lety vydaly certifikační autority ověření totožnosti webové stránky před vydáním certifikátu. Certifikační autorita by zkontrolovala, zda byla společnost, která žádala o certifikát, zaregistrována, zavolala na telefonní číslo a ověřila, že podnik je legitimní operace, která odpovídá webové stránce.
Nakonec certifikační autority začaly nabízet certifikáty "pouze pro doménu".Byly to levnější, protože pro certifikační autoritu bylo méně práce, aby rychle ověřila, že žadatel vlastní konkrétní doménu( web).
Phishers nakonec začal využívat toho. Phisher by mohl zaregistrovat doménu paypall.com a zakoupit certifikát pouze pro doménu. Pokud je uživatel připojen k paypall.com, prohlížeč uživatele zobrazí standardní ikonu zámku a poskytuje falešný pocit bezpečí.Prohlížeče nezobrazily rozdíl mezi certifikátem pouze doménou a certifikátem, který zahrnoval rozsáhlejší ověření identity webu.
Veřejná důvěra v certifikační autority k ověření webových stránek klesla - je to jen jeden příklad certifikačních autorit, které nedokázaly vykonat svou due diligence. V roce 2011 zjistila nadace Electronic Frontier Foundation, že certifikační autority vydaly více než 2000 certifikátů pro "localhost" - jméno, které vždy odkazuje na váš současný počítač.(Zdroj) Ve špatných rukou by takové osvědčení mohlo usnadnit útoky typu "man-in-the-middle".
Jak jsou rozšířené ověřovací certifikáty odlišné
Certifikát EV označuje, že certifikační autorita ověřila, že webové stránky provozuje určitá organizace. Například pokud se phisher pokusil získat certifikát EV pro paypall.com, žádost bude odmítnuta.
Na rozdíl od standardních certifikátů SSL mohou vydávat certifikáty EV pouze certifikační autority, které projdou nezávislým auditem. Certifikační úřad / Fórum prohlížeče( CA / prohlížečové fórum), dobrovolná organizace certifikačních autorit a prodejců prohlížečů, jako jsou Mozilla, Google, Apple a Microsoft, vydávají přísná pravidla, která musí splňovat všechny certifikační autority vydávající rozšířené ověřovací certifikáty. To v ideálním případě brání certifikačním úřadům v tom, aby se zapojili do další "závodu dole", kde používají laxní postupy ověřování, které nabízejí levnější certifikáty.
Stručně řečeno, pokyny vyžadují, aby certifikační úřady ověřily, že organizace žádající o certifikát je oficiálně zaregistrována, že vlastní danou doménu a že osoba, která žádá o certifikát, jedná jménem organizace. Jedná se o kontrolu vládních záznamů, kontaktování vlastníka domény a kontaktování organizace s cílem ověřit, zda osoba, která požaduje certifikát, pracuje pro danou organizaci.
Naproti tomu ověření certifikátu pouze doménou může obsahovat pouze pohled na záznamy, které ověřují, zda žadatel o registraci používá stejné informace. Vydání certifikátů pro domény, jako je "localhost", znamená, že některé certifikační autority dokonce nevedou o tolik ověření.EV certifikáty jsou v zásadě pokusem o obnovení důvěry veřejnosti v certifikační autority a obnovení role rolí bránících proti podvodníkům.