5Jul
Έχετε παρατηρήσει ποτέ ότι το πρόγραμμα περιήγησής σας εμφανίζει μερικές φορές ένα όνομα οργανισμού ενός ιστότοπου σε έναν κρυπτογραφημένο ιστότοπο;Αυτό αποτελεί ένδειξη ότι ο ιστότοπος διαθέτει εκτεταμένο πιστοποιητικό επικύρωσης, υποδεικνύοντας ότι η ταυτότητα του ιστότοπου έχει επαληθευτεί.Τα πιστοποιητικά
EV δεν παρέχουν πρόσθετη ισχύ κρυπτογράφησης - αντί αυτού, ένα πιστοποιητικό EV υποδεικνύει ότι έχει πραγματοποιηθεί εκτεταμένη επαλήθευση της ταυτότητας του ιστότοπου.Τα τυπικά πιστοποιητικά SSL παρέχουν ελάχιστη επαλήθευση της ταυτότητας ενός ιστοτόπου.
Ο τρόπος με τον οποίο τα προγράμματα περιήγησης εμφανίζουν τα πιστοποιητικά εκτεταμένης επικύρωσης
Σε έναν κρυπτογραφημένο ιστότοπο που δεν χρησιμοποιεί εκτεταμένο πιστοποιητικό επικύρωσης, ο Firefox λέει ότι ο ιστότοπος "εκτελείται από( άγνωστος)." Το
Chrome δεν εμφανίζει τίποτα διαφορετικά και λέει ότι η ταυτότητα του ιστότοπουεπαληθεύτηκε από την αρχή πιστοποίησης που εξέδωσε το πιστοποιητικό του ιστότοπου.
Όταν είστε συνδεδεμένοι σε έναν ιστότοπο που χρησιμοποιεί ένα εκτεταμένο πιστοποιητικό επικύρωσης, ο Firefox σας ενημερώνει ότι το τρέχει από έναν συγκεκριμένο οργανισμό.Σύμφωνα με αυτό το παράθυρο διαλόγου, η VeriSign έχει επαληθεύσει ότι είμαστε συνδεδεμένοι με τον πραγματικό ιστότοπο PayPal, ο οποίος εκτελείται από την PayPal, Inc.
Όταν είστε συνδεδεμένοι σε έναν ιστότοπο που χρησιμοποιεί πιστοποιητικό EV στο Chrome, το όνομα του οργανισμού εμφανίζεται στογραμμή διεύθυνσης.Ο διάλογος πληροφοριών μας λέει ότι η ταυτότητα του PayPal έχει επαληθευτεί από το VeriSign χρησιμοποιώντας ένα εκτεταμένο πιστοποιητικό επικύρωσης.
Το πρόβλημα με τα πιστοποιητικά SSL
Πριν από χρόνια, οι αρχές πιστοποιητικών χρησιμοποίησαν για την επαλήθευση της ταυτότητας ενός ιστότοπου προτού εκδώσουν ένα πιστοποιητικό.Η αρχή πιστοποίησης θα ελέγχει ότι η επιχείρηση που ζήτησε το πιστοποιητικό έχει καταχωριστεί, καλέστε τον αριθμό τηλεφώνου και βεβαιωθείτε ότι η επιχείρηση ήταν νόμιμη ενέργεια που αντιστοιχούσε στον ιστότοπο.
Τελικά, οι αρχές πιστοποίησης άρχισαν να προσφέρουν πιστοποιητικά "μόνο για τομέα".Αυτά ήταν φθηνότερα, καθώς ήταν λιγότερη δουλειά για την αρχή πιστοποίησης να ελέγχει γρήγορα ότι ο αιτών διέθετε έναν συγκεκριμένο τομέα( ιστότοπο).Το
Phishers άρχισε τελικά να επωφελείται από αυτό.Ένας phisher θα μπορούσε να καταχωρίσει το domain paypall.com και να αγοράσει ένα πιστοποιητικό μόνο για τον τομέα.Όταν ένας χρήστης συνδεθεί με το paypall.com, το πρόγραμμα περιήγησης του χρήστη θα εμφανίσει το πρότυπο εικονίδιο κλειδώματος, παρέχοντας μια εσφαλμένη αίσθηση ασφάλειας.Τα προγράμματα περιήγησης δεν εμφάνισαν τη διαφορά μεταξύ ενός πιστοποιητικού που βασίζεται αποκλειστικά σε τομέα και ενός πιστοποιητικού που περιελάμβανε εκτενέστερη επαλήθευση της ταυτότητας του ιστότοπου.
Η εμπιστοσύνη του κοινού στις αρχές πιστοποιητικών για την επαλήθευση ιστότοπων έχει μειωθεί - αυτό είναι μόνο ένα παράδειγμα των αρχών πιστοποίησης που δεν επιδεικνύουν τη δέουσα επιμέλεια.Το 2011, το Ίδρυμα Electronic Frontier Foundation διαπίστωσε ότι οι αρχές έκδοσης πιστοποιητικών είχαν εκδώσει περισσότερα από 2000 πιστοποιητικά για το "localhost" - ένα όνομα που αναφέρεται πάντοτε στον τρέχοντα υπολογιστή σας.(Πηγή) Σε λάθος χέρια, ένα τέτοιο πιστοποιητικό θα μπορούσε να καταστήσει τις επιθέσεις "άνθρωπος στη μέση" ευκολότερη.
Πόσο διαφέρουν τα πιστοποιητικά εκτεταμένης επικύρωσης
Το πιστοποιητικό EV υποδεικνύει ότι μια αρχή πιστοποίησης έχει επαληθεύσει ότι ο ιστότοπος εκτελείται από έναν συγκεκριμένο οργανισμό.Για παράδειγμα, αν ένας phisher προσπάθησε να πάρει ένα πιστοποιητικό EV για το paypall.com, το αίτημα θα απορριφθεί.
Σε αντίθεση με τα τυπικά πιστοποιητικά SSL, επιτρέπεται να εκδίδουν πιστοποιητικά EV μόνον οι αρχές πιστοποίησης που διενεργούν ανεξάρτητο έλεγχο.Η Αρχή Πιστοποίησης / Φόρουμ προγράμματος περιήγησης( CA / Φόρουμ προγράμματος περιήγησης), μια εθελοντική οργάνωση αρχών πιστοποίησης και προμηθευτών προγραμμάτων περιήγησης όπως το Mozilla, η Google, η Apple και η Microsoft εκδίδουν αυστηρές οδηγίες ότι όλες οι αρχές πιστοποιητικών που εκδίδουν εκτεταμένα πιστοποιητικά επικύρωσης πρέπει να ακολουθήσουν.Αυτό στην ιδανική περίπτωση εμποδίζει τις αρχές πιστοποίησης να προβαίνουν σε άλλη "φυλή προς τα κάτω", όπου χρησιμοποιούν χαλαρές πρακτικές επαλήθευσης για να προσφέρουν φθηνότερα πιστοποιητικά.
Εν ολίγοις, οι οδηγίες απαιτούν από τις αρχές πιστοποιητικών να επαληθεύσουν ότι ο οργανισμός που ζητεί το πιστοποιητικό είναι επίσημα εγγεγραμμένος, ότι κατέχει τον εν λόγω τομέα και ότι το πρόσωπο που ζητεί το πιστοποιητικό ενεργεί εξ ονόματος του οργανισμού.Αυτό περιλαμβάνει τον έλεγχο των κυβερνητικών αρχείων, την επαφή με τον κάτοχο του τομέα και την επικοινωνία με τον οργανισμό για να επαληθεύσει ότι το άτομο που ζητεί το πιστοποιητικό εργάζεται για τον οργανισμό.
Αντίθετα, μια επαλήθευση πιστοποιητικού μόνο για τομέα μπορεί να περιλαμβάνει μόνο μια ματιά στα αρχεία Whois του τομέα, για να επαληθεύσει ότι ο καταχωρίζων χρησιμοποιεί τις ίδιες πληροφορίες.Η έκδοση πιστοποιητικών για τομείς όπως "localhost" σημαίνει ότι κάποιες αρχές πιστοποίησης δεν κάνουν καν τόσο μεγάλη επαλήθευση.Τα πιστοποιητικά EV είναι, ουσιαστικά, μια προσπάθεια να αποκατασταθεί η εμπιστοσύνη του κοινού στις αρχές πιστοποίησης και να αποκατασταθεί ο ρόλος τους ως gatekeepers ενάντια στους απατεώνες.