5Jul
Pernahkah Anda memperhatikan bahwa browser Anda terkadang menampilkan nama organisasi situs web di situs web terenkripsi? Ini adalah tanda bahwa situs web memiliki sertifikat validasi perpanjangan, yang menunjukkan bahwa identitas situs web telah diverifikasi. Sertifikat
EV tidak memberikan kekuatan enkripsi tambahan - sebagai gantinya, sertifikat EV menunjukkan bahwa verifikasi luas atas identitas situs web telah terjadi. Sertifikat SSL standar hanya memberikan sedikit verifikasi identitas situs web.
Bagaimana Browser Menampilkan Sertifikat Validasi Extended
Di situs web terenkripsi yang tidak menggunakan sertifikat validasi diperpanjang, Firefox mengatakan bahwa situs web tersebut "dijalankan oleh( tidak diketahui)."
Chrome tidak menampilkan sesuatu yang berbeda dan mengatakan bahwa identitas situs webtelah diverifikasi oleh otoritas sertifikat yang mengeluarkan sertifikat situs web.
Bila Anda terhubung ke situs web yang menggunakan sertifikat validasi diperpanjang, Firefox memberitahu Anda bahwa ini dijalankan oleh organisasi tertentu. Menurut dialog ini, VeriSign telah memverifikasi bahwa kami terhubung ke situs web PayPal sebenarnya, yang dijalankan oleh PayPal, Inc.
Bila Anda terhubung ke situs yang menggunakan sertifikat EV di Chrome, nama organisasi akan muncul dibilah alamatDialog informasi memberitahukan bahwa identitas PayPal telah diverifikasi oleh VeriSign dengan menggunakan sertifikat validasi perpanjangan.
Masalah dengan Sertifikat SSL
Bertahun-tahun yang lalu, otoritas sertifikat digunakan untuk memverifikasi identitas situs web sebelum mengeluarkan sertifikat. Otoritas sertifikat akan memastikan bahwa bisnis yang meminta sertifikat terdaftar, menghubungi nomor telepon, dan memastikan bahwa bisnis tersebut merupakan operasi yang sah yang sesuai dengan situs web.
Akhirnya, otoritas sertifikat mulai menawarkan sertifikat "hanya-domain".Ini lebih murah, karena kurang bekerja untuk otoritas sertifikat untuk segera memeriksa pemohon yang memiliki domain tertentu( situs web).Pemalsuan
akhirnya mulai memanfaatkan hal ini. Seorang phisher bisa mendaftarkan domain paypall.com dan membeli sertifikat hanya domain. Ketika pengguna terhubung ke paypall.com, browser pengguna akan menampilkan ikon kunci standar, memberikan rasa aman palsu. Browser tidak menampilkan perbedaan antara sertifikat hanya domain dan sertifikat yang melibatkan verifikasi lebih luas atas identitas situs web.
Kepercayaan publik pada otoritas sertifikat untuk memverifikasi situs web telah jatuh - ini hanyalah satu contoh otoritas sertifikat yang tidak melakukan due diligence mereka. Pada tahun 2011, Electronic Frontier Foundation menemukan bahwa otoritas sertifikat telah menerbitkan lebih dari 2000 sertifikat untuk "localhost" - sebuah nama yang selalu mengacu pada komputer Anda saat ini.(Sumber) Di tangan yang salah, sertifikat semacam itu bisa membuat serangan man-in-the-middle lebih mudah.
Bagaimana Sertifikat Validasi Extended Berbeda dengan
Sertifikat EV menunjukkan bahwa otoritas sertifikat telah memverifikasi bahwa situs web dijalankan oleh organisasi tertentu. Misalnya, jika phisher mencoba mendapatkan sertifikat EV untuk paypall.com, permintaan akan ditolak.
Tidak seperti sertifikat SSL standar, hanya otoritas sertifikat yang lulus audit independen yang diizinkan menerbitkan sertifikat EV.Forum Otoritas Sertifikasi / Browser( CA / Browser Forum), sebuah organisasi sukarela dari otoritas sertifikasi dan vendor browser seperti Mozilla, Google, Apple, dan Microsoft mengeluarkan pedoman yang ketat bahwa semua pejabat sertifikat yang menerbitkan sertifikat validasi perpanjangan harus mengikuti. Ini idealnya mencegah otoritas sertifikat untuk terlibat dalam "perlombaan ke bawah" lainnya, di mana mereka menggunakan praktik verifikasi yang lemah untuk menawarkan sertifikat yang lebih murah.
Singkatnya, pedoman meminta agar otoritas sertifikat memverifikasi organisasi yang meminta sertifikat terdaftar secara resmi, bahwa ia memiliki domain yang dimaksud, dan orang yang meminta sertifikat tersebut bertindak atas nama organisasi. Ini melibatkan pengecekan catatan pemerintah, menghubungi pemilik domain, dan menghubungi organisasi untuk memverifikasi bahwa orang yang meminta sertifikat tersebut bekerja untuk organisasi tersebut.
Sebaliknya, verifikasi sertifikat hanya domain mungkin hanya melibatkan sekilas catatan whois domain untuk memverifikasi bahwa pendaftar menggunakan informasi yang sama. Penerbitan sertifikat untuk domain seperti "localhost" menyiratkan bahwa beberapa otoritas sertifikat bahkan tidak melakukan banyak verifikasi. Sertifikat EV, pada dasarnya, merupakan usaha untuk memulihkan kepercayaan publik terhadap otoritas sertifikat dan mengembalikan peran mereka sebagai penjaga gerbang terhadap penipu.