5Jul
Czy zauważyłeś, że twoja przeglądarka czasami wyświetla nazwę organizacji witryny na zaszyfrowanej stronie internetowej? Jest to znak, że witryna ma rozszerzony certyfikat walidacji, co wskazuje, że tożsamość witryny została zweryfikowana. Certyfikaty
EV nie zapewniają dodatkowej siły szyfrowania - zamiast tego certyfikat EV wskazuje, że nastąpiła szczegółowa weryfikacja tożsamości witryny. Standardowe certyfikaty SSL zapewniają bardzo niewielką weryfikację tożsamości witryny.
Jak przeglądarki wyświetlają certyfikaty walidacji rozszerzonej
Na zaszyfrowanej stronie internetowej, która nie korzysta z rozszerzonego certyfikatu walidacyjnego, Firefox mówi, że strona jest "prowadzona przez( nieznana)."
Chrome nie wyświetla niczego inaczej i mówi, że tożsamość witrynyzostał zweryfikowany przez urząd certyfikacji, który wydał certyfikat witryny.
Po nawiązaniu połączenia z witryną, która korzysta z rozszerzonego certyfikatu sprawdzania poprawności, Firefox informuje, że jest uruchamiana przez określoną organizację.Zgodnie z tym dialogiem firma VeriSign zweryfikuje, że jesteśmy podłączeni do prawdziwej witryny PayPal obsługiwanej przez PayPal, Inc.
Po połączeniu z witryną, która korzysta z certyfikatu EV w Chrome, nazwa organizacji pojawia się wpasek adresu. Okno informacyjne informuje nas, że tożsamość PayPal została zweryfikowana przez VeriSign przy użyciu rozszerzonego certyfikatu walidacyjnego.
Problem z certyfikatami SSL
Kilka lat temu urzędy certyfikacji wykorzystały do weryfikacji tożsamości witryny przed wystawieniem certyfikatu. Urząd certyfikacji sprawdzi, czy firma żądająca certyfikatu została zarejestrowana, zadzwonił pod numer telefonu i zweryfikuje, czy firma była legalną operacją dopasowaną do witryny.
Ostatecznie urzędy certyfikacji zaczęły oferować certyfikaty "tylko domeny".Były one tańsze, ponieważ dla urzędu certyfikacji było mniej pracy, aby szybko sprawdzić, czy wnioskodawca jest właścicielem określonej domeny( witryny).
Phishers ostatecznie zaczęli wykorzystywać to. Phisher mógł zarejestrować domenę paypall.com i kupić certyfikat tylko domeny. Gdy użytkownik jest podłączony do serwisu paypall.com, przeglądarka użytkownika wyświetla ikonę standardowej blokady, co zapewnia fałszywe poczucie bezpieczeństwa. Przeglądarki nie wyświetlały różnicy między certyfikatem tylko domeny a certyfikatem, który wymagał dokładniejszej weryfikacji tożsamości witryny.
Zaufanie publiczne do urzędów certyfikacji w zakresie weryfikowania witryn internetowych spadło - to tylko jeden przykład, w którym organy certyfikacyjne nie wykonały należytej staranności. W 2011 r. Electronic Frontier Foundation stwierdziło, że urzędy certyfikacji wydały ponad 2000 certyfikatów dla "localhost" - nazwy, która zawsze odnosi się do obecnego komputera.(Źródło) W niewłaściwych rękach, taki certyfikat może ułatwić ataki man-in-the-middle.
Czym są certyfikaty rozszerzonej walidacji
Certyfikat EV wskazuje, że urząd certyfikacji sprawdził, czy witryna jest obsługiwana przez określoną organizację.Na przykład, jeśli phisher próbował uzyskać certyfikat EV dla serwisu paypall.com, żądanie zostanie odrzucone.
W przeciwieństwie do standardowych certyfikatów SSL tylko certyfikaty, które pomyślnie przejdą niezależny audyt, mogą wydawać certyfikaty EV.Forum urzędu certyfikacji / przeglądarki( CA / Browser Forum), dobrowolna organizacja urzędów certyfikacji i dostawców przeglądarek, takich jak Mozilla, Google, Apple i Microsoft, wydaje surowe wytyczne, które muszą spełniać wszystkie urzędy certyfikacji wydające rozszerzone certyfikaty walidacyjne. W idealnej sytuacji uniemożliwia to organom wydającym certyfikaty udział w kolejnym "wyścigu do dna", w którym stosują praktyki zwolnienia z weryfikacji, aby oferować tańsze certyfikaty.
Podsumowując, wytyczne wymagają, aby urzędy certyfikacji zweryfikowały, czy organizacja wnioskująca o certyfikat jest oficjalnie zarejestrowana, że jest właścicielem danej domeny oraz, że osoba żądająca certyfikatu działa w imieniu organizacji. Obejmuje to sprawdzenie rekordów rządowych, skontaktowanie się z właścicielem domeny i skontaktowanie się z organizacją w celu sprawdzenia, czy osoba wnioskująca o certyfikat działa dla organizacji.
W przeciwieństwie do tego, weryfikacja certyfikatu tylko do domeny może obejmować tylko przegląd rekordów whois domeny w celu sprawdzenia, czy rejestrujący używa tych samych informacji. Wydawanie certyfikatów dla domen takich jak "localhost" oznacza, że niektóre urzędy certyfikacji nawet nie przeprowadzają takiej weryfikacji. Certyfikaty EV są zasadniczo próbą przywrócenia zaufania publicznego do urzędów certyfikacji i przywrócenia ich roli strażników przeciwko oszustom.
