5Jul

Ako prehliadače overujú identitu webových stránok a chránia proti neprimeraným osobám

Všimli ste si niekedy, že váš prehliadač niekedy zobrazuje názov organizácie webových stránok na šifrovanej webovej stránke? Toto je znak, že webová lokalita má rozšírený certifikát o potvrdení, ktorý označuje, že totožnosť webovej stránky bola overená.Certifikáty

EV neposkytujú žiadnu ďalšiu šifrovateľskú silu - namiesto toho osvedčenie EV indikuje, že došlo k rozsiahlemu overeniu totožnosti webovej lokality.Štandardné SSL certifikáty poskytujú veľmi málo overenia totožnosti webových stránok.

Ako prehliadače zobrazujú certifikáty rozšírenej overenia

Na šifrovanej webovej lokalite, ktorá nepoužíva rozšírený certifikát na overenie, Firefox hovorí, že web je "spustený( neznámym)".

Chrome nezobrazuje nič iné a hovorí, že totožnosť webovej lokalitybola overená certifikačnou autoritou, ktorá vydala certifikát webových stránok.

Keď ste pripojení k webovej lokalite, ktorá používa rozšírený certifikát na overenie, Firefox vám povie, že je spustený konkrétnou organizáciou. Podľa tohto dialógového okna VeriSign overil, že sme pripojení k skutočnej webovej stránke PayPal, ktorú spravuje spoločnosť PayPal, as

Keď ste pripojení k stránke, ktorá používa certifikát EV v prehliadači Chrome, názov organizácie sa zobrazí vo vašomadresný riadok. Informačný dialóg hovorí, že identita PayPal bola overená spoločnosťou VeriSign použitím rozšíreného certifikátu o overovaní.

Problém s certifikátmi SSL

Pred niekoľkými rokmi používali certifikačné autority na overenie totožnosti webovej lokality pred vydaním certifikátu. Certifikačná autorita by skontrolovala, či bola zaregistrovaná firma, ktorá žiada o certifikát, zavolala na telefónne číslo a overila, či ide o legitímnu operáciu, ktorá zodpovedá webovej stránke.

Nakoniec certifikačné autority začali ponúkať certifikáty typu "iba doména".Tieto boli lacnejšie, pretože pre certifikačnú autoritu bolo menej práce, aby rýchlo skontrolovali, či žiadateľ vlastní konkrétnu doménu( webovú stránku).

Phishers nakoniec začali využívať toto. Phisher by mohol zaregistrovať doménu paypall.com a zakúpiť certifikát len ​​pre doménu. Keď používateľ pripojený na paypall.com, prehliadač používateľa zobrazí štandardnú ikonu zámku, čím poskytne falošný pocit bezpečia. Prehliadače nezobrazili rozdiel medzi certifikátom iba doménou a certifikátom, ktorý zahŕňal rozsiahlejšie overenie totožnosti webových stránok.

Verejná dôvera v certifikačné autority na overenie webových stránok klesla - je to len jeden príklad certifikačných autorít, ktorí nepodnikli svoju povinnú starostlivosť.V roku 2011 spoločnosť Electronic Frontier Foundation zistila, že certifikačné autority vydali viac ako 2000 certifikátov pre "localhost" - meno, ktoré vždy odkazuje na váš súčasný počítač.(Zdroj) V nesprávnych rukách by takéto osvedčenie mohlo uľahčiť útoky typu "man-in-the-middle".

Ako sú rozdielne certifikáty rozšírenej overenia

Certifikát EV udáva, že certifikačný orgán overil, že webová lokalita je riadená konkrétnou organizáciou. Napríklad, ak sa phisher pokúsil získať certifikát EV pre paypall.com, požiadavka bude odmietnutá.

Na rozdiel od štandardných certifikátov SSL môžu vydávať certifikáty EV iba certifikačné autority, ktoré prejdú nezávislým auditom. Certifikačná autorita / fórum prehliadača( CA / Fórum prehliadača), dobrovoľná organizácia certifikačných autorít a dodávatelia prehliadačov, ako sú Mozilla, Google, Apple a Microsoft vydajú prísne smernice, ktoré musia dodržiavať všetky certifikačné autority, ktoré vydávajú rozšírené certifikáty validácie. To v ideálnom prípade zabraňuje tomu, aby certifikačné autority začali konať iným "pretekom dole", kde používajú laxné verifikačné postupy na ponúkanie lacnejších certifikátov.

Stručne povedané, v usmerneniach sa požaduje, aby certifikačné autority overili, že organizácia žiadajúca o certifikát je oficiálne zaregistrovaná, že vlastní danú doménu a že osoba, ktorá požaduje certifikát, koná v mene organizácie. Zahŕňa kontrolu vládnych záznamov, kontaktovanie vlastníka domény a kontaktovanie organizácie s cieľom overiť, či osoba, ktorá požaduje certifikát, pracuje pre organizáciu.

Naproti tomu verifikácia certifikátu len doménou môže obsahovať iba pohľad na záznamy o tom, kto overuje, či registrujúci používa rovnaké informácie. Vydávanie certifikátov pre domény ako "localhost" znamená, že niektoré certifikačné autority dokonca ani nekonajú toľko overenia. EV certifikáty sú v podstate pokusom o obnovenie dôvery verejnosti v certifikačné autority a obnovenie ich úlohy brány proti vylúčením.