5Jul
Vai kādreiz esat pamanījuši, ka jūsu pārlūkprogramma dažkārt parāda vietnes organizācijas nosaukumu šifrētā vietnē?Šī ir zīme, ka vietnei ir pagarināts validācijas sertifikāts, kas norāda, ka vietnes identitāte ir verificēta.
EV sertifikāti nesniedz nekādu papildu šifrēšanas spēku - tā vietā EV sertifikāts norāda, ka ir notikusi plaša tīmekļa vietnes identitātes verifikācija. Standarta SSL sertifikāti sniedz ļoti nelielu tīmekļa vietnes identitātes pārbaudi.
Kā pārlūkprogrammās tiek parādīti paplašinātie validācijas sertifikāti
Šifrētā tīmekļa vietnē, kurā netiek izmantots pagarināts validācijas sertifikāts, Firefox saka, ka vietne ir "vada( nav zināms)."
Chrome nerāda nekādus datus un apgalvo, ka vietnes identitātetika apstiprināts sertifikācijas iestādē, kas izsniedza vietnes sertifikātu.
Kad esat izveidojis savienojumu ar vietni, kurā tiek izmantots pagarināts validācijas sertifikāts, Firefox paziņo, ka to vada konkrēta organizācija. Saskaņā ar šo dialoglodziņu, VeriSign ir apstiprinājis, ka mēs esam izveidojuši savienojumu ar reālo PayPal vietni, kuru vada PayPal, Inc.
Kad esat izveidojis savienojumu ar vietni, kurā tiek izmantots EV sertifikāts pārlūkā Chrome, jūsu uzņēmuma nosaukums tiek parādītsadreses josla. Informācijas dialoglodziņš liek mums, ka PayPal identitāte ir verificēta ar VeriSign, izmantojot paplašinātu validācijas sertifikātu.
Problēma ar SSL sertifikātiem
Pirms vairākiem gadiem sertifikātu iestādes izmantoja, lai pārbaudītu vietnes identitāti pirms sertifikāta izsniegšanas. Sertifikācijas iestāde pārbauda, vai uzņēmums, kas lūdz sertifikātu, ir reģistrēts, zvanīt uz tālruņa numuru un pārliecināties, vai uzņēmums ir likumīgs darījums, kas atbilst vietnei.
Galu galā sertifikātu iestādes sāka piedāvāt tikai "domain-only" sertifikātus. Tie bija lētāki, jo sertifikātu iestādei bija mazāks darbs, lai ātri pārbaudītu, vai pieprasītājam pieder īpašs domēns( tīmekļa vietne).
Pikšķerētāji beidzot sāka to izmantot. Phisher var reģistrēt domēnu paypall.com un iegādāties tikai domēnu sertifikātu. Ja lietotājs ir savienots ar paypall.com, lietotāja pārlūkprogrammā tiek parādīta standarta atslēgas ikona, kas nodrošina nepatiesu drošības sajūtu. Pārlūkprogrammās netika parādīta atšķirība starp tikai domēnu sertifikātu un sertifikātu, kurā bija plašāka tīmekļa vietnes identitātes pārbaude.
Sabiedrības uzticēšanās sertifikātu iestādēm, lai pārbaudītu tīmekļa vietnes, ir samazinājies - tas ir tikai viens sertifikātu iestāžu piemērs, kas nespēj veikt pienācīgu rūpību.2011. gadā Electronic Frontier Foundation konstatēja, ka sertifikātu iestādes ir izsniegušas vairāk nekā 2000 sertifikātus vietējam serverim - nosaukumam, kas vienmēr attiecas uz jūsu pašreizējo datoru.(Avots) Nepareizās rokās šāds sertifikāts varētu padarīt vienkāršākus uzbrukumus cilvēkiem.
Kā atšķiras paplašinātie validācijas sertifikāti
EV sertifikāts norāda, ka sertifikātu iestāde ir pārbaudījusi, vai vietni vada konkrēta organizācija. Piemēram, ja fikators mēģina iegūt EV sertifikātu paypall.com, pieprasījums tiks noraidīts.
Atšķirībā no standarta SSL sertifikātiem, vienīgi sertifikātu iestādēm, kas nodod neatkarīgu revīziju, ir atļauts izdot EV sertifikātus. Sertifikācijas iestāde / pārlūka forums( CA / Browser Forum), sertifikācijas iestāžu un pārlūkprogrammu pakalpojumu sniedzēju brīvprātīga organizācija, piemēram, Mozilla, Google, Apple un Microsoft, izsniedz stingras vadlīnijas, kas jāievēro visām sertifikātu iestādēm, kas izsniedz pagarinātas validācijas sertifikātus. Tas ideāli neļauj sertifikātu iestādēm iesaistīties citā "sacensībā uz leju", kur tās izmanto vienkāršas pārbaudes procedūras, lai piedāvātu lētākus sertifikātus.
Īsi sakot, vadlīnijās prasīts, lai sertifikātu iestādes pārbauda, vai organizācija, kas lūdz sertifikātu, ir oficiāli reģistrēta, ka tai pieder attiecīgais domēns, un ka persona, kas pieprasa sertifikātu, rīkojas organizācijas vārdā.Tas ietver valdības ierakstu pārbaudi, sazinoties ar domēna īpašnieku un sazinoties ar organizāciju, lai pārliecinātos, ka persona, kas pieprasa sertifikātu, strādā organizācijai.
Savukārt tikai domēna sertifikāta verifikācija var ietvert tikai skatienu domēna whois ierakstos, lai pārliecinātos, ka reģistrētājs izmanto to pašu informāciju. Sertifikātu izsniegšana domēniem, piemēram, "localhost", nozīmē, ka dažas sertifikātu iestādes pat nespēj veikt tik daudz pārbaudes. EV sertifikāti būtībā ir mēģinājums atjaunot sabiedrības uzticību sertifikātu iestādēm un atjaunot to lomu vārtu apsaimniekotājos pret imposters.