5Jul
האם שמת לב שהדפדפן שלך מציג לפעמים את שם הארגון של האתר באתר מוצפן?זהו סימן לכך שלאתר יש תעודת אימות מורחבת, המציינת שהזהות של האתר אומתה._A
אישורים EV אינם מספקים שום כוח הצפנה נוסף - במקום זאת, תעודת EV מעיד על אימות נרחב של זהות האתר.אישורי SSL סטנדרטיים מספקים אימות מועט מאוד של זהות האתר.
כיצד הדפדפנים מציגים אישורי אימות מורחבים
באתר אינטרנט מוצפן שאינו משתמש בתעודת אימות מורחבת, פיירפוקס אומר שהאתר "מנוהל על ידי( לא ידוע)".
Chrome אינו מציג דבר אחר ואומר שהזהות של האתראושרה על ידי רשות האישורים שהנפיקה את אישור האתר.
כאשר אתה מחובר לאתר אינטרנט המשתמש בתעודת אימות מורחבת, Firefox אומר לך שהוא מופעל על-ידי ארגון מסוים.לפי דו-שיח זה, VeriSign אימתה שאנו מחוברים לאתר PayPal האמיתי, המנוהל על-ידי PayPal, Inc.
כאשר אתה מחובר לאתר המשתמש בתעודת EV ב- Chrome, שם הארגון מופיעשורת הכתובת.תיבת הדו-שיח 'מידע' מספרת לנו שהזהות של PayPal אומתה על-ידי VeriSign באמצעות אישור אימות מורחב.
הבעיה עם אישורי SSL
לפני שנים, רשויות האישורים השתמשו לאימות הזהות של האתר לפני הנפקת התעודה.רשות האישורים תבדוק שהעסק המבקש את האישור נרשם, התקשר למספר הטלפון וודא שהעסק היה פעולה לגיטימית התואמת את האתר.
בסופו של דבר, רשויות האישור החלו להציע אישורי "דומיין בלבד".אלה היו זולים יותר, שכן זה היה פחות עבודה עבור הסמכה הסמכה לבדוק במהירות כי המבקש בבעלות תחום מסוים( אתר אינטרנט).בסופו של דבר החל פישרס לנצל את זה.פישר יכול לרשום את התחום paypall.com ולרכוש אישור תחום בלבד.כאשר משתמש מחובר ל- paypall.com, הדפדפן של המשתמש יציג את סמל המנעול הרגיל, ויספק תחושת ביטחון מזויפת.דפדפנים לא הציגו את ההבדל בין אישור דומיין בלבד לבין אישור שהכיל אימות נרחב יותר של זהות האתר.
אמון הציבור רשויות אישורים לאמת אתרי אינטרנט נפל - זה רק דוגמה אחת של רשויות האישור נכשלת לעשות בדיקת נאותות שלהם.בשנת 2011, קרן אלקטרונית קרן מצאו כי רשויות אישורים הוציא מעל 2000 אישורים עבור "localhost" - שם זה תמיד מתייחס למחשב הנוכחי שלך.(מקור) בידיים הלא נכונות, תעודה כזו עלולה להפוך את ההתקפות של האדם אל תוך האמצע לקלות יותר.
כיצד תעודות אימות מורחבות שונות
תעודת EV מציינת כי רשות אישורים אימתה שהאתר מופעל על-ידי ארגון מסוים.לדוגמה, אם פישר ניסה להשיג אישור EV עבור paypall.com, הבקשה תידחה.
בניגוד לאישור SSL רגיל, רק רשויות אישורים העוברות ביקורת עצמאית מורשות להנפיק תעודות EV.הפורום של רשות האישורים / הדפדפן( CA / Browser Forum), ארגון התנדבותי של רשויות הסמכה וספקי דפדפן כגון Mozilla, Google, Apple ו- Microsoft מנחים קווים מנחים קפדניים, שעל כל רשויות האישורים המנפיקות אישורי אימות מורחבים לבצע.זה מונע באופן אידיאלי את רשויות האישור מלהתערב "מרוץ לתחתית", שם הם משתמשים בשיטות אימות חלשות כדי להציע אישורים זולים יותר.
בקיצור, ההנחיות דורשות מרשויות אישורים לאמת את הארגון המבקש את האישור רשום באופן רשמי, כי הוא הבעלים של התחום המדובר, וכי האדם המבקש את התעודה פועל בשם הארגון.הדבר כולל בדיקת רשומות ממשלתיות, פנייה לבעלים של הדומיין, ופנייה לארגון כדי לוודא שהאדם המבקש את התעודה פועל עבור הארגון.
לעומת זאת, אימות אישור תחום בלבד עשוי לכלול רק מבט על רשומות whois של הדומיין כדי לוודא שהרשם משתמש באותו מידע.הנפקת תעודות עבור תחומים כמו "localhost" מרמז כי כמה רשויות אישורים הם אפילו לא עושה את זה הרבה אימות.תעודות EV הן, ביסודו של דבר, ניסיון להחזיר את אמון הציבור ברשויות התעודה ולהשיב את תפקידן כשומרי סף נגד מתחזים.
