5Jul
Voltál már észre, hogy a böngésző néha megjeleníti a webhely szervezeti nevét egy titkosított weboldalon? Ez arra utal, hogy a weboldal kiterjesztett érvényesítési tanúsítvánnyal rendelkezik, jelezve, hogy a webhely személyazonosságát ellenőrizték. Az
EV tanúsítványok nem nyújtanak további titkosítási erőt, hanem egy EV tanúsítvány jelzi, hogy a webhely személyazonosságának kiterjedt ellenőrzése történt. A szabványos SSL-tanúsítványok nagyon kevéssé igazolják a webhely személyazonosságát.
A böngészők megjelenítik a kiterjesztett érvényesítési tanúsítványokat
A titkosított weboldalon, amely nem használ kiterjesztett érvényesítési tanúsítványt, a Firefox azt mondja, hogy a webhely "fut( ismeretlen)".
A Chrome nem mutat semmit másként, és azt mondja, hogy a webhely személyazonosságaa tanúsítványt kibocsátó tanúsító hatóság ellenőrizte.
Ha egy kiterjesztett érvényesítési tanúsítványt használó webhelyhez csatlakozik, a Firefox azt mondja, hogy egy adott szervezet működtet. A párbeszédablak szerint a VeriSign ellenőrzi, hogy csatlakozunk-e a PayPal, Inc. által működtetett valós PayPal weboldalhoz.
Ha egy olyan webhellyel csatlakozik, amely egy EV tanúsítványt használ a Chrome-ban, a szervezet neve megjelenik acímsor. Az információs párbeszédablak azt mondja, hogy a VeriSign hitelesíti a PayPal azonosságát kiterjesztett érvényesítési tanúsítvány használatával.
Az SSL-tanúsítványokkal kapcsolatos probléma
Évekkel ezelőtt a tanúsítványok kiadták a tanúsítvány kiadását megelőzően a tanúsítvány hatósági ellenőrzését. A tanúsító hatóság ellenőrizni fogja, hogy a tanúsítványt kérő vállalkozás regisztrálta-e, hívja-e a telefonszámot, és ellenőrizze, hogy a vállalkozás törvényes művelet volt-e, amely megfelelt a webhelynek.
Végül a tanúsító hatóságok csak "domain-only" tanúsítványokat kezdtek kínálni. Ezek olcsóbbak voltak, mivel kevésbé volt a tanúsító hatóságnál végzett munka annak érdekében, hogy gyorsan ellenőrizze, hogy a kérelmező egy adott domainhez( weboldalhoz) tartozó-e.
A Phishers végül is kihasználta ezt. A phisher regisztrálhatja a domain paypall.com domainet, és megvásárolhatja a domain-only tanúsítványt. Amikor a felhasználó csatlakozik a paypall.com-hoz, a felhasználó böngészője megjelenítené a szabványos reteszelő ikont, ami hamis biztonságérzetet ad. A böngészők nem mutatták meg a különbséget a csak egy domain-tanúsítvány és a tanúsítvány között, amely szélesebb körű ellenőrzést végzett a webhely személyazonosságával kapcsolatban.
A tanúsítvány hatóságoknak a nyilvánosság bizalmát a webhelyek ellenőrzésére csökkentette - ez csak egy példa arra, hogy a tanúsító hatóságok nem tették kellő gondosságukat.2011-ben az Electronic Frontier Foundation megállapította, hogy a tanúsító hatóságok több mint 2000 tanúsítványt bocsátottak ki a "localhost" -ra - olyan név, amely mindig a jelenlegi számítógépére vonatkozik.(Forrás) A rossz kezekben egy ilyen tanúsítvány könnyebbé teheti a "man-in-the-middle" támadást.
A kiterjesztett érvényesítési tanúsítványok eltérőek
Az EV tanúsítvány azt jelzi, hogy egy tanúsító hatóság ellenőrizte, hogy a webhelyet egy adott szervezet végzi-e. Például ha egy phisher próbálta megkapni az EV-tanúsítványt a paypall.com-ra, akkor a kérést elutasítanák.
A szabványos SSL tanúsítványokkal ellentétben csak a független könyvvizsgálatot átadó tanúsító hatóságok engedélyezhetik az EV tanúsítványok kiadását. A tanúsító hatóság / böngésző fórum( CA / böngésző fórum), a tanúsító hatóságok és a böngésző forgalmazók önkéntes szervezete, például a Mozilla, a Google, az Apple és a Microsoft szigorú iránymutatásokat ad ki, amelyeket a kiterjesztett érvényesítési tanúsítványokat kibocsátó tanúsító hatóságoknak követniük kell. Ez ideális esetben megakadályozza, hogy a tanúsító hatóságok vegyenek részt egy másik "versenyen az alulról", ahol lassú ellenőrzési módszereket alkalmaznak olcsóbb bizonyítványok nyújtására. Röviden, az iránymutatások azt követelik meg, hogy a tanúsító hatóságok ellenőrizzék, hogy a tanúsítványt kérő szervezet hivatalosan bejegyzett-e, hogy az a szóban forgó domain tulajdonosa, és hogy a tanúsítványt kérő személy a szervezet nevében jár el. Ez magában foglalja a kormányzati nyilvántartások ellenőrzését, a domain tulajdonosával való kapcsolatfelvételt, és kapcsolatba lépve a szervezetgel annak ellenőrzésével, hogy a tanúsítványt kérő személy működik-e a szervezet számára.
Ezzel ellentétben a domain-csak tanúsítvány-ellenőrzés csak egy pillantást vethet a domain whois rekordjaira annak ellenőrzésére, hogy a regisztráló ugyanazokat az információkat használja-e. A "localhost" -hoz hasonló domainek tanúsítványainak kiadása azt jelenti, hogy egyes tanúsító hatóságok nem is csinálnak ilyen sok ellenőrzést. Az EV tanúsítványok alapvetően kísérletet tesznek arra, hogy a nyilvánosság bizalmát helyreállítsák a tanúsító hatóságokban, és visszaállítsák szerepüket bejáróként a csalókkal szemben.