5Jul
Haben Sie jemals bemerkt, dass Ihr Browser manchmal den Namen einer Website auf einer verschlüsselten Website anzeigt? Dies ist ein Zeichen dafür, dass die Website über ein erweitertes Validierungszertifikat verfügt, das angibt, dass die Identität der Website überprüft wurde.
EV-Zertifikate bieten keine zusätzliche Verschlüsselungsstärke - stattdessen zeigt ein EV-Zertifikat an, dass eine umfassende Überprüfung der Identität der Website stattgefunden hat. Standard-SSL-Zertifikate bieten nur eine sehr geringe Überprüfung der Identität einer Website.
Wie Browser Extended Validation Zertifikate anzeigen
Auf einer verschlüsselten Website, die kein erweitertes Validierungszertifikat verwendet, sagt Firefox, dass die Website "von( unbekannt) ausgeführt wird".
Chrome zeigt nichts anderes an und sagt, dass die Identität der Websitewurde von der Zertifizierungsstelle verifiziert, die das Zertifikat der Website ausgestellt hat.
Wenn Sie mit einer Website verbunden sind, die ein erweitertes Validierungszertifikat verwendet, sagt Firefox, dass es von einer bestimmten Organisation ausgeführt wird. Laut diesem Dialog hat VeriSign bestätigt, dass wir mit der echten PayPal-Website verbunden sind, die von PayPal, Inc. betrieben wird.
Wenn Sie mit einer Website verbunden sind, die ein EV-Zertifikat in Chrome verwendet, wird der Name der Organisation in Ihrem angezeigtAdressleiste. Der Informationsdialog sagt uns, dass die Identität von PayPal von VeriSign mit einem erweiterten Validierungszertifikat verifiziert wurde.
Das Problem mit SSL-Zertifikaten
Vor Jahren haben Zertifizierungsstellen die Identität einer Website vor der Ausstellung eines Zertifikats überprüft. Die Zertifizierungsstelle überprüft, ob das Unternehmen, das das Zertifikat angefordert hat, registriert wurde, ruft die Telefonnummer an und überprüft, ob es sich bei dem Unternehmen um einen legitimen Vorgang handelt, der mit der Website übereinstimmt.
Schließlich haben Zertifizierungsstellen damit begonnen, "Nur-Domänen" -Zertifikate anzubieten. Diese waren billiger, da es für die Zertifizierungsstelle weniger wichtig war, schnell zu überprüfen, ob der Anforderer eine bestimmte Domäne( Website) besaß.
Phishers begann schließlich davon zu profitieren. Ein Phisher könnte die Domain paypall.com registrieren und ein Domain-only-Zertifikat erwerben. Wenn ein Benutzer mit paypall.com verbunden ist, zeigt der Browser des Benutzers das Standardsperrsymbol an, was ein falsches Sicherheitsgefühl vermittelt. Browser zeigten nicht den Unterschied zwischen einem Domain-only-Zertifikat und einem Zertifikat, das eine umfassendere Überprüfung der Identität der Website einschloss.
Das Vertrauen der Öffentlichkeit in Zertifizierungsstellen zur Verifizierung von Websites ist gesunken - dies ist nur ein Beispiel dafür, dass Zertifizierungsstellen ihre Sorgfaltspflicht nicht erfüllen. Im Jahr 2011 stellte die Electronic Frontier Foundation fest, dass die Zertifizierungsstellen mehr als 2000 Zertifikate für "localhost" ausgestellt hatten - ein Name, der sich immer auf Ihren aktuellen Computer bezieht.(Quelle) In den falschen Händen könnte ein solches Zertifikat Man-in-the-Middle-Angriffe erleichtern.
So unterscheiden sich Extended Validation-Zertifikate
Ein EV-Zertifikat gibt an, dass eine Zertifizierungsstelle überprüft hat, dass die Website von einer bestimmten Organisation ausgeführt wird. Wenn beispielsweise ein Phisher versucht, ein EV-Zertifikat für paypall.com zu erhalten, wird die Anfrage abgelehnt.
Im Gegensatz zu Standard-SSL-Zertifikaten dürfen nur Zertifizierungsstellen, die eine unabhängige Prüfung bestehen, EV-Zertifikate ausstellen. Das Zertifizierungsstellen- / Browserforum( CA / Browser Forum), eine freiwillige Organisation von Zertifizierungsstellen und Browseranbietern wie Mozilla, Google, Apple und Microsoft, gibt strenge Richtlinien vor, denen alle Zertifizierungsstellen, die erweiterte Validierungszertifikate ausstellen, folgen müssen. Dies verhindert idealerweise, dass sich die Zertifizierungsstellen an einem anderen "Wettlauf nach unten" beteiligen, wo sie laxe Verifizierungspraktiken verwenden, um billigere Zertifikate anzubieten.
Kurz gesagt fordern die Richtlinien, dass die Zertifizierungsstellen überprüfen, ob die Organisation, die das Zertifikat anfordert, offiziell registriert ist, dass sie die betreffende Domäne besitzt und dass die Person, die das Zertifikat anfordert, im Auftrag der Organisation handelt. Dies beinhaltet das Überprüfen von Regierungsdatensätzen, Kontaktaufnahme mit dem Eigentümer der Domain und Kontaktaufnahme mit der Organisation, um zu verifizieren, dass die Person, die das Zertifikat anfordert, für die Organisation arbeitet.
Im Gegensatz dazu kann eine Überprüfung der Domain-only-Zertifikate nur einen Blick auf die Whois-Datensätze der Domain erfordern, um zu verifizieren, dass der Registrant dieselben Informationen verwendet. Das Ausstellen von Zertifikaten für Domains wie "localhost" bedeutet, dass einige Zertifizierungsstellen nicht einmal so viel verifizieren. EV-Zertifikate sind im Grunde genommen ein Versuch, das öffentliche Vertrauen in Zertifizierungsstellen wiederherzustellen und ihre Rolle als Gatekeeper gegen Betrüger wiederherzustellen.
