5Jul
Ste že kdaj opazili, da vaš brskalnik včasih prikaže ime organizacije spletnega mesta na šifrirani spletni strani? To je znak, da ima spletno mesto razširjeno potrdilo o potrditvi, kar pomeni, da je bila identiteta spletnega mesta preverjena.
EV certifikati ne zagotavljajo dodatne moči šifriranja - namesto tega certifikat EV kaže, da je prišlo do obsežnega preverjanja identitete spletnega mesta. Standardni SSL certifikati zagotavljajo zelo malo preverjanja identitete spletnega mesta.
Kako brskalniki prikazujejo razširjena potrdila o potrditvi
Na kodirani spletni strani, ki ne uporablja razširjenega potrdila o potrditvi, Firefox pravi, da je na spletnem mestu "(neznan)."
Chrome ne prikazuje nič drugače in pravi, da je identiteta spletnega mestaje potrdil organ za izdajo potrdil, ki je izdal potrdilo spletnega mesta.
Ko ste povezani s spletnim mestom, ki uporablja razširjeno potrdilo o potrditvi, vam Firefox pove, da ga upravlja določena organizacija. V skladu s tem pogovorom je VeriSign preveril, da smo povezani s pravim spletnim mestom PayPal, ki ga upravlja PayPal, Inc.
Ko ste povezani s spletnim mestom, ki uporablja potrdilo EV v Chromu, se ime organizacije prikaže v vašemnaslovna vrstica. Pogovorno okno z informacijami nam pove, da je identiteto PayPal preveril VeriSign z razširjenim potrdilom o potrditvi.
Težava s potrdili SSL
Pred leti so organi za izdajo certifikatov preverili identiteto spletnega mesta pred izdajo potrdila. Organ za certifikate bi preveril, ali je bilo podjetje, ki zahteva potrdilo, registrirano, pokliče telefonsko številko in preveri, ali je bilo podjetje legitimno operacijo, ki ustreza spletnemu mestu.
Sčasoma so organi za izdajo certifikatov začeli nuditi potrdila »samo za domene«.Te so bile cenejše, saj je bilo za certifikacijski organ manj dela, da bi hitro preverili, ali je imel imetnik določene domene( spletna stran).
Phishers je sčasoma začel izkoristiti to. Phisher lahko registrira domeno paypall.com in kupi potrdilo samo za domeno. Ko je uporabnik priključen na paypall.com, bo uporabniški brskalnik prikazal standardno ikono za zaklepanje, s čimer bi zagotovil lažen občutek varnosti. Brskalniki niso prikazali razlike med certifikatom samo domene in certifikatom, ki je vključeval obsežnejšo preverjanje identitete spletnega mesta.
Javno zaupanje v organe za izdajo potrdil za preverjanje spletnih strani je padel - to je le en primer, da certifikacijski organi ne opravljajo potrebne skrbnosti. Leta 2011 je Electronic Frontier Foundation ugotovil, da so certifikacijski organi izdali več kot 2000 potrdil za "localhost" - ime, ki se vedno nanaša na vaš trenutni računalnik.(Vir) V napačnih rokah bi tak certifikat lahko olajšal napade med ljudmi.
Kako razširjena potrdila o pristnosti so različna
Potrdilo EV označuje, da je organ za potrdila preveril, ali spletno mesto upravlja določena organizacija.Če je na primer, če je poskusil dobiti potrdilo EV za paypall.com, bo zahtevek zavrnjen.
Za razliko od standardnih potrdil SSL, lahko izdajajo certifikate EV le organi, ki izdajajo neodvisno revizijo. Organizacija za certificiranje / brskalnik( CA / Browser Forum), prostovoljna organizacija certifikacijskih organov in prodajalcev brskalnikov, kot so Mozilla, Google, Apple in Microsoft, izdajajo stroge smernice, ki jih morajo upoštevati vsi organi certifikatov, ki izdajajo razširjene potrditve veljavnosti. To idealno preprečuje organom certifikatov, da se vključijo v drugo "tekmovanje na dno", kjer uporabljajo slabe postopke preverjanja, da ponudijo cenejše certifikate.
Skratka, smernice zahtevajo, da organi za certifikate preverijo, ali je organizacija, ki zahteva potrdilo, uradno registrirana, da ima v lasti zadevno domeno in da oseba, ki zahteva potrdilo, deluje v imenu organizacije. To vključuje preverjanje vladnih zapisov, vzpostavitev stika z lastnikom domene in vzpostavljanje stika z organizacijo, da preveri, ali oseba, ki zahteva certifikat, deluje za organizacijo.
Nasprotno pa lahko preverjanje certifikata samo v domeni vključuje le ogled zapisnikov, ki je registracija domene, da preveri, ali registracijski zavezanec uporablja iste podatke. Izdaja certifikatov za domene, kot je "localhost", pomeni, da nekateri organi za certifikate sploh ne opravljajo toliko preverjanja. EV certifikati so v osnovi poskus ponovnega zaupanja javnosti v certifikacijske organe in obnovitev njihove vloge kot vratarjev proti izumiteljem.