5Jul

Miten selaimet varmistavat verkkosivustoidentiteetit ja suojaavat niitä vastaan

Oletko koskaan huomannut, että selaimesi näyttää joskus verkkosivuston organisaation nimeä salattuna verkkosivustossa? Tämä on merkki siitä, että verkkosivustolla on laajennettu validointitodistus, joka osoittaa, että sivuston henkilöllisyys on tarkistettu.

EV-sertifikaatit eivät tarjoa mitään ylimääräistä salausvoimaa. Sen sijaan EV-todistus osoittaa, että verkkosivuston identiteetin tarkastaminen on tapahtunut. Vakio SSL-sertifikaatit antavat hyvin vähän todentavaa verkkosivuston identiteettiä.

Miten selaimet näyttävät laajennetut varmenteet

Firefoxilla, joka ei käytä laajennettua validointitodistusta, Firefox sanoo, että sivustoa "ajaa( tuntematon)".

Chrome ei näytä mitään eri tavoin ja sanoo, että sivuston henkilöllisyystodentamisviranomainen vahvisti verkkosivuston todistuksen.

Kun olet yhteydessä laajennetun validointitodistuksen käyttävään verkkosivustoon, Firefox ilmoittaa, että se toimii tietyssä organisaatiossa. Tämän valintaikkunan mukaan VeriSign on varmistanut, että olemme yhteydessä PayPalin, Inc.:n johtamaan PayPal-sivustoon.

Kun olet yhteydessä verkkoon, joka käyttää EV-todistusta Chromessa, organisaation nimi näkyyosoitekenttä.Tiedot-valintaikkunassa kerrotaan, että VeriSign on vahvistanut PayPalin identiteetin laajennetun validointitodistuksen avulla.

SSL-sertifikaattien ongelma

Vuosisatojen jälkeen sertifikaattien viranomaiset tarkistavat verkkosivuston identiteetin ennen todistuksen antamista. Varmenneviranomainen tarkistaisi, että varmennepyyntöä pyytänyt yritys on rekisteröity, soita puhelinnumeroon ja tarkista, että yritys oli oikeutettu operaatio, joka sopi verkkosivustolle.

Todentamisviranomaiset alkoivat lopulta tarjota "domain-only" -sertifikaatteja. Nämä olivat halvempia, koska varmenteen myöntäjälle oli vähemmän tehtävää tarkistaa nopeasti, että pyytäjä omisti tietyn verkkotunnuksen( verkkosivusto).

Phishers lopulta alkoi hyödyntää tätä.Fisher voisi rekisteröidä verkkotunnuksen paypall.com ja ostaa verkkotunnuksen vain todistuksen. Kun käyttäjä liittyi paypall.com-palveluun, käyttäjän selaimessa näkyisi standardi lukkosymboli, joka antaa väärän tietoturvan. Selainkäyttäjät eivät näyttäneet eroa vain verkkotunnuksen sisältävän todistuksen ja todistuksen, joka sisälsi laajemman verkkosivustoidentiteetin vahvistamisen.

Julkinen luottamus sertifikaattien viranomaisiin verkkosivujen tarkastamiseen on laskenut - tämä on vain yksi esimerkki varmenteiden viranomaisista, jotka eivät ole tehneet asianmukaista huolellisuuttaan. Vuonna 2011 Electronic Frontier -säätiö havaitsi, että varmentaja oli myöntänyt yli 2000 sertifikaatin "localhost" - nimelle, joka viittaa aina nykyiseen tietokoneeseesi.(Lähde) Väärissä käsissä tällainen todistus voisi helpottaa ihmisen keskellä olevia hyökkäyksiä.

Kuinka pitkät validointitodistukset ovat erilaiset

EV-todistus osoittaa, että varmenteen myöntäjä on varmistanut, että tietyn organisaation ylläpitää verkkosivustoa. Esimerkiksi jos phisher yritti saada EV-todistuksen paypall.comille, pyyntö hylättiin.

Toisin kuin tavalliset SSL-varmenteet, vain todistuksen myöntävät viranomaisviranomaiset voivat antaa EV-todistuksia. Varmentaja / selainfoorumi( CA / Browser Forum), vapaaehtoinen sertifiointiviranomaisten organisaatio ja selaimen toimittajat, kuten Mozilla, Google, Apple ja Microsoft, antavat tiukkoja ohjeita, joita kaikkien laajennetun validointitodistuksen myöntävien sertifikaattien viranomaisten on noudatettava. Tämä estää varmentamisviranomaisten mahdollisuuden osallistua toiseen "kilpailuun pohjaan", jossa he käyttävät lax-vahvistuskäytäntöjä tarjotakseen halvemmat todistukset.

Lyhyesti sanottuna suuntaviivat edellyttävät, että varmenteen myöntäjät varmistavat, että organisaatio, joka pyytää sertifikaattia, on virallisesti rekisteröity, että se omistaa kyseessä olevan verkkotunnuksen ja että todistuksen pyytävän henkilö toimii organisaation puolesta. Tämä edellyttää valtion rekisterin tarkistamista, verkkotunnuksen omistajan ottamista yhteyttä ja yhteyden ottamista organisaatioon sen varmistamiseksi, että varmenteen pyytävän henkilö toimii organisaatiossa.

Sitä vastoin vain verkkotunnuksen varmenteen vahvistaminen voi sisältää vain katsauksen verkkotunnuksen whois-tietueisiin, jotta varmistetaan, että rekisteröijä käyttää samoja tietoja. Sertifikaattien antaminen verkkotunnuksille, kuten "localhost", merkitsee sitä, että jotkut varmenneviranomaiset eivät edes suorita niin paljon tarkistusta. EV-todistukset ovat pohjimmiltaan yritys palauttaa yleisön luottamus sertifikaattien viranomaisiin ja palauttaa niiden asema portinvartijoina säätäjiä vastaan.