5Jul
Ați observat vreodată că browserul dvs. afișează uneori numele organizației unui site pe un site criptat? Acesta este un semn că site-ul Web are un certificat de validare extins, indicând faptul că identitatea site-ului a fost verificată.Certificatele
EV nu oferă nicio putere suplimentară de criptare - în schimb, un certificat EV indică faptul că a avut loc o verificare extensivă a identității site-ului. Certificatele SSL standard oferă o foarte mică verificare a identității unui site web.
Modul în care browserele afișează certificate de validare extinsă
Pe un site criptat care nu utilizează un certificat de validare extins, Firefox declară că site-ul este "rulat de( necunoscut)".
Chrome nu afișează nimic diferit și afirmă că identitatea site-a fost verificată de autoritatea de certificare care a emis certificatul site-ului web.
Când sunteți conectat( ă) la un site web care utilizează un certificat de validare extins, Firefox vă spune că este rulat de o anumită organizație. Conform acestui dialog, VeriSign a verificat că suntem conectați la site-ul PayPal real, care este administrat de PayPal, Inc.
Când sunteți conectat( ă) la un site care utilizează un certificat EV în Chrome, numele organizației apare înbara de adresa. Dialogul de informații ne spune că identitatea PayPal a fost verificată de VeriSign utilizând un certificat de validare extins.
Problema cu certificatele SSL
Cu ani în urmă, autoritățile de certificare au folosit pentru a verifica identitatea unui site web înainte de a emite un certificat. Autoritatea de certificare ar verifica dacă firma care a solicitat certificatul a fost înregistrată, apelează numărul de telefon și verifică dacă afacerea era o operațiune legitimă care corespundea site-ului web.
În cele din urmă, autoritățile de certificare au început să ofere certificate "numai pentru domenii".Acestea au fost mai ieftine, deoarece a fost mai puțin de lucru pentru autoritatea de certificare să verifice rapid că solicitantul deține un anumit domeniu( site).
Phishers a început în cele din urmă să profite de acest lucru. Un phisher ar putea înregistra domeniul paypall.com și va achiziționa un certificat de domeniu exclusiv. Atunci când un utilizator conectat la paypall.com, browser-ul utilizatorului ar afișa pictograma de blocare standard, oferind un fals sentiment de securitate. Browserele nu au afișat diferența dintre un certificat de domeniu exclusiv și un certificat care implică o verificare mai amplă a identității site-ului web.
Încrederea publică în certificarea autorităților pentru a verifica site-urile web a scăzut - acesta este doar un exemplu de autoritate a certificatului care nu reușește să-și efectueze diligența.În 2011, Fundația Electronic Frontier a constatat că autoritățile de certificare au eliberat peste 2000 de certificate pentru "localhost" - un nume care se referă întotdeauna la calculatorul dvs. curent.(Sursa) În mâinile greșite, un astfel de certificat ar putea face mai ușor atacurile "om-in-the-middle".
Modul în care certificatele de valabilitate extinsă sunt diferite
Un certificat EV indică faptul că o autoritate de certificare a verificat dacă site-ul Web este gestionat de o anumită organizație. De exemplu, dacă un phisher a încercat să obțină un certificat EV pentru paypall.com, cererea va fi respinsă.
Spre deosebire de certificatele SSL standard, numai autoritățile de certificare care efectuează un audit independent au dreptul de a emite certificate EV.Autoritatea de certificare / forumul browserului( CA / Forumul browser), o organizație voluntară a autorităților de certificare și a furnizorilor de browsere, precum Mozilla, Google, Apple și Microsoft, emite recomandări stricte conform cărora trebuie să urmeze toate autoritățile de certificare care eliberează certificate de validare extinse. Acest lucru previne, în mod ideal, autoritățile de certificare să se angajeze într-o altă "cursă spre fund", unde folosesc practici de verificare lax pentru a oferi certificate mai ieftine.
Pe scurt, orientările solicită autorităților de certificare să verifice că organizația care solicită certificatul este înregistrată oficial, că deține domeniul respectiv și că persoana care solicită certificatul acționează în numele organizației. Aceasta implică verificarea înregistrărilor guvernamentale, contactarea proprietarului domeniului și contactarea organizației pentru a verifica dacă persoana care solicită certificatul funcționează pentru organizație.
În schimb, o verificare a unui certificat numai pe domenii ar putea implica doar o privire asupra înregistrărilor care au fost înregistrate în domeniu, pentru a verifica dacă solicitantul înregistrării utilizează aceleași informații. Eliberarea de certificate pentru domenii precum "localhost" implică faptul că unele autorități de certificare nu fac nici măcar această verificare. Certificatele EV sunt, în mod fundamental, o încercare de a restabili încrederea publicului în autoritățile de certificare și de a restabili rolul lor de portar împotriva impostorilor.