5Jul

Kako preglednici provjeravaju identitete web stranica i štite ih od postavitelja

Jeste li ikada primijetili da vaš preglednik ponekad prikazuje naziv organizacije organizacije web mjesta na šifriranoj web stranici? Ovo je znak da web stranica ima proširenu potvrdu o potvrđivanju, što ukazuje na to da je identitet web stranice potvrđen.

EV certifikati ne pružaju dodatnu snagu šifriranja - umjesto toga, EV certifikat ukazuje na to da je izvršena opsežna provjera identiteta web stranice. Standardni SSL certifikati pružaju vrlo malo provjere identiteta web stranice.

Kako preglednici prikazuju certifikate proširene valjanosti

Na kriptiranoj web stranici koja ne koristi prošireni certifikacijski certifikat, Firefox kaže da se web mjesto "pokreće( nepoznato)".

Chrome ne prikazuje ništa drugačije i kaže da je identitet web stranicepotvrđena je od strane tijela za izdavanje certifikata koja je izdala certifikat web stranice.

Kada ste povezani s web-mjestom koja koristi prošireni certifikat za potvrdu, Firefox vam kaže da ga pokreće određena organizacija. Prema ovom dijaloškom okviru, VeriSign je potvrdio da smo povezani s realnom PayPal web sučeljem koju vodi PayPal, Inc.

Kada ste povezani s web lokacijom koji koristi EV certifikat u Chromeu, naziv organizacije prikazuje se na vašem računaluadresnu traku. Dijaloški okvir nam govori da je VeriSign potvrdio identitet PayPal-a korištenjem proširenog certifikata potvrde.

Problem s SSL certifikatima

Prije nekoliko godina, tijela certifikata koriste se za provjeru identiteta web mjesta prije izdavanja certifikata. Tijelo certifikata provjerilo je li tvrtka koja je zatražila certifikat bila registrirana, nazovite telefonski broj i provjerite je li poslovanje legitimna operacija koja se podudara s webom.

Konačno, tijela za izdavanje certifikata počela su ponuditi certifikate "samo domene".To su bile jeftinije, jer je manje posla za ovlaštenje za izdavanje certifikata da brzo provjerava je li podnositelj zahtjeva posjedovao određenu domenu( web mjesto).

Phishers su konačno počeli iskoristiti ovo. Fisher mogao registrirati domenu paypall.com i kupiti certifikat samo za domenu. Kada se korisnik spoji na paypall.com, korisnikov preglednik bi prikazao standardnu ​​ikonu zaključavanja, pružajući lažni osjećaj sigurnosti. Preglednici nisu prikazali razliku između certifikata samo za domene i potvrde koja uključuje veću provjeru identiteta web mjesta.

Palo je povjerenje javnosti u ovlasti certifikata za provjeru web stranica - ovo je samo jedan primjer ovlaštenih tijela za izdavanje certifikata koje nisu uspjele obaviti svoju due diligence. Zaklada Electronic Frontier je tijekom 2011. godine utvrdila da su ovlaštenja za izdavanje certifikata izdala više od 2000 certifikata za "localhost" - naziv koji se uvijek odnosi na vaše trenutno računalo.(Izvor) U pogrešnim rukama, takav certifikat mogao bi olakšati napade na čovjeka u sredini.

Kako su prošireni certifikati za provjeru valjanosti

Certifikat EV pokazuje da je ovlašteno tijelo za potvrdu potvrdilo da web mjesto upravlja određena organizacija. Na primjer, ako je phisher pokušao dobiti EV certifikat za paypall.com, zahtjev će biti odbijen.

Za razliku od standardnih SSL certifikata, samo ovlaštenja za certifikaciju koja prolaze nezavisnu reviziju mogu izdati EV certifikate. Tijelo za izdavanje certifikata / Forum za preglednike( CA / Browser Forum), dobrovoljna organizacija certifikacijskih tijela i prodavača preglednika kao što su Mozilla, Google, Apple i Microsoft izdaju stroge smjernice koje moraju slijediti sva tijela za izdavanje potvrda o potvrdi. Ovo idealno sprječava ovlaštene osobe za certifikaciju da se uključe u drugu "utrku na dno", gdje upotrebljavaju praksu provjere lažnih postupaka kako bi imale jeftinije potvrde. Ukratko, smjernice zahtijevaju da ovlaštena tijela potvrde da je organizacija koja traži da je potvrda službeno registrirana, da posjeduje predmetnu domenu, te da osoba koja traži certifikat djeluje u ime organizacije. To uključuje provjeru državnih zapisa, kontaktiranje vlasnika domene i kontaktiranje organizacije radi potvrde da osoba koja traži certifikat funkcionira za organizaciju.

Nasuprot tome, potvrda certifikata samo za domenu može uključivati ​​samo pregled onih koji registriraju kako bi potvrdili da registrant koristi iste podatke. Izdavanje certifikata za domene poput "localhost" podrazumijeva da neke ovlaštene osobe za ovjeru ne rade toliko provjere. EV certifikati su, u osnovi, pokušaj obnove javnog povjerenja u ovlasti certifikata i vraćanje njihove uloge kao vratara protiv varalica.