5Jul
¿Alguna vez ha notado que su navegador a veces muestra el nombre de la organización de un sitio web en un sitio web encriptado? Esta es una señal de que el sitio web tiene un certificado de validación extendido, lo que indica que la identidad del sitio web ha sido verificada. Los certificados
EV no proporcionan ninguna potencia adicional de cifrado; en cambio, un certificado EV indica que se ha llevado a cabo una verificación exhaustiva de la identidad del sitio web. Los certificados SSL estándar proporcionan muy poca verificación de la identidad de un sitio web.
Cómo los navegadores muestran certificados de validación extendida
En un sitio web cifrado que no utiliza un certificado de validación extendido, Firefox dice que el sitio web es "administrado por( desconocido)".
Chrome no muestra nada diferente y dice que la identidad del sitio webfue verificado por la autoridad de certificación que emitió el certificado del sitio web.
Cuando estás conectado a un sitio web que usa un certificado de validación extendido, Firefox te dice que es administrado por una organización específica. De acuerdo con este diálogo, VeriSign ha verificado que estamos conectados al sitio web real de PayPal, que es operado por PayPal, Inc.
Cuando está conectado a un sitio que usa un certificado EV en Chrome, el nombre de la organización aparece en suBarra de dirección. El cuadro de diálogo de información nos dice que VeriSign verificó la identidad de PayPal utilizando un certificado de validación extendido.
El problema con los certificados SSL
Hace años, las autoridades de certificación solían verificar la identidad de un sitio web antes de emitir un certificado. La autoridad de certificación verificará que la empresa que solicita el certificado esté registrada, llame al número de teléfono y verifique que el negocio sea una operación legítima que coincida con el sitio web.
Finalmente, las autoridades de certificación comenzaron a ofrecer certificados de "solo dominio".Estos eran más baratos, ya que era menos trabajo para la autoridad de certificación comprobar rápidamente que el solicitante poseía un dominio específico( sitio web).
Phishers eventualmente comenzó a tomar ventaja de esto. Un phisher podría registrar el dominio paypall.com y comprar un certificado de solo dominio. Cuando un usuario se conecta a paypall.com, el navegador del usuario muestra el ícono de bloqueo estándar, lo que proporciona una falsa sensación de seguridad. Los navegadores no mostraron la diferencia entre un certificado de solo dominio y un certificado que implicaba una verificación más exhaustiva de la identidad del sitio web.
La confianza pública en las autoridades de certificación para verificar los sitios web ha disminuido: este es solo un ejemplo de las autoridades de certificación que no hacen su debida diligencia. En 2011, Electronic Frontier Foundation descubrió que las autoridades de certificación habían emitido más de 2000 certificados para "localhost", un nombre que siempre se refiere a su computadora actual.(Fuente) En las manos equivocadas, tal certificado podría facilitar los ataques de hombre en el medio.
Cómo los certificados de validación extendida son diferentes
Un certificado de EV indica que una autoridad de certificación ha verificado que el sitio web es ejecutado por una organización específica. Por ejemplo, si un phisher intenta obtener un certificado EV para paypall.com, la solicitud se rechazará.
A diferencia de los certificados SSL estándar, solo las autoridades de certificación que pasan una auditoría independiente pueden emitir certificados EV.La Autoridad de Certificación / Foro de Navegador( CA / Browser Forum), una organización voluntaria de autoridades de certificación y vendedores de navegadores tales como Mozilla, Google, Apple y Microsoft emite directrices estrictas que deben seguir todas las autoridades de certificación que expiden certificados de validación extendida. Esto idealmente evita que las autoridades de certificación participen en otra "carrera hacia abajo", donde utilizan prácticas de verificación poco estrictas para ofrecer certificados más baratos.
En resumen, las directrices exigen que las autoridades certificadoras verifiquen que la organización que solicita el certificado está registrada oficialmente, que posee el dominio en cuestión y que la persona que solicita el certificado actúa en nombre de la organización. Esto implica verificar los registros del gobierno, ponerse en contacto con el propietario del dominio y ponerse en contacto con la organización para verificar que la persona que solicita el certificado funcione para la organización.
Por el contrario, una verificación de certificado solo de dominio solo podría incluir una ojeada a los registros de whois del dominio para verificar que el registratario está usando la misma información. La emisión de certificados para dominios como "localhost" implica que algunas autoridades de certificación ni siquiera están haciendo tanta verificación. Los certificados EV son, fundamentalmente, un intento de restaurar la confianza del público en las autoridades de certificación y restaurar su papel como guardianes contra los impostores.