5Jul
Tarayıcınızın bazen şifreli bir web sitesinde bir web sitesinin kuruluş adını görüntülediğini fark ettiniz mi? Bu, web sitesinin, web sitesinin kimliğinin doğrulandığını belirten geniş bir geçerlilik sertifikasına sahip olduğunun bir işaretidir.
EV sertifikaları ek bir şifreleme gücü sağlamaz - bunun yerine bir EV sertifikası, web sitesinin kimliğinin kapsamlı bir şekilde doğrulandığını gösterir. Standart SSL sertifikaları, bir web sitesinin kimliğinin çok az doğruluğunu sağlar.
Tarayıcılar Genişletilmiş Doğrulama Sertifikalarını Nasıl Görüntüliyor
Geniş bir doğrulama sertifikası kullanmayan şifreli bir web sitesinde Firefox, web sitesinin "bilinmeyen" tarafından çalıştırıldığını söylüyor.
Chrome farklı bir şey göstermiyor ve web sitesinin kimliğininweb sitesinin sertifikasını veren sertifika yetkilisi tarafından doğrulanmıştır.
Genişletilmiş bir doğrulama sertifikası kullanan bir web sitesine bağlandığınızda, Firefox size belirli bir kuruluş tarafından işletildiğini bildirir. VeriSign, PayPal, Inc. tarafından işletilen gerçek PayPal web sitesine bağlı olduğumuzu doğruladı.
Chrome'da EV sertifikası kullanan bir siteye bağlı olduğunuzda kuruluşun adı,adres çubuğu. Bilgi iletişim kutusu bize, VeriSign tarafından PayPal'ın kimlik belgesinin genişletilmiş bir doğrulama sertifikası kullanılarak doğrulanmış olduğunu bildirir.
SSL Sertifikalarıyla İlgili Problem
Yıl önce, sertifika yetkilileri bir web sitesi kimliğini bir sertifika vermeden önce doğrulamak için kullandılar. Sertifika yetkilisi, sertifikayı talep eden işletmenin kayıtlı olup olmadığını kontrol eder, telefon numarasını arar ve işletmenin web sitesiyle eşleşen meşru bir işlem olduğunu doğrular.
Sonunda, sertifika yetkilileri "yalnızca alan adı" sertifikaları sunmaya başladı.Sertifika yetkilisi, istek sahibinin belirli bir alana( web sitesi) sahip olduğunu hızlı bir şekilde kontrol etmenin daha az çalışması olduğundan, bunlar daha ucuzdu.
Phishing'ler sonunda bunun avantajını kullanmaya başladı.Bir phisher, paypall.com alan adını kayıtlayabilir ve sadece bir alan adı sertifikası satın alabilir. Bir kullanıcı paypall.com'a bağlandığında, kullanıcının tarayıcısı standart kilit simgesini gösterecek ve yanlış bir güvenlik hissi sağlayacaktır. Tarayıcılar, yalnızca bir alan adı sertifikası ile web sitesinin kimliğinin daha kapsamlı doğrulamasını içeren bir sertifika arasındaki farkı göstermedi.
Web sitelerinin doğruluğunu kontrol etmek için sertifika yetkililerine halkın güvenliği - bunlar, belgelendirme makamlarının yeterliliğini inceleme konusundaki başarısızlığına yalnızca bir örnektir.2011 yılında Electronic Frontier Foundation, sertifika yetkililerinin "localhost" için 2000'den fazla sertifikalar yayınladığını keşfetti. Bu sertifikanın adı her zaman mevcut bilgisayarınıza atıfta bulunuyor.(Kaynak) Yanlış ellerde böyle bir sertifika, adam-içi-orta saldırıları daha kolay hale getirebilir.
Genişletilmiş Doğrulama Sertifikalarının Farklı Olduğu Nasıl
Bir EV sertifikası, bir sertifika yetkilisinin web sitesinin belirli bir kuruluş tarafından çalıştırıldığını doğruladığını gösterir.Örneğin, bir phishing görevlisi paypall.com için bir EV sertifikası almaya çalışmışsa istek reddedilecektir.
Standart SSL sertifikalarından farklı olarak, bağımsız denetimden geçen yalnızca sertifika yetkililerinin EV sertifikaları yayınlamalarına izin verilir. Mozilla, Google, Apple ve Microsoft gibi sertifika yetkililerinin ve tarayıcı sağlayıcılarının gönüllü bir kuruluşu olan Sertifika Yetkilisi / Tarayıcı Forumu( CA / Browser Forum), geniş doğrulama sertifikaları yayınlayan tüm sertifika yetkililerinin izlemesi gereken katı kuralları yayınlar. Bu, ideal olarak, sertifika yetkililerinin daha ucuz sertifikalar sunmak için gevşek doğrulama uygulamalarını kullandıkları başka bir "en düşük seviyeye giden yarış" yapmalarını engeller.
Kısacası yönergeler, sertifika yetkililerinin sertifika'nın resmen kayıtlı olduğunu, söz konusu alana ait olduğunu ve sertifikayı isteyen kişinin kuruluş adına hareket ettiğini doğrulamasını talep etmektedir. Bu, devlet kayıtlarını kontrol etmek, alan adı sahibiyle iletişim kurmak ve sertifika talep eden kişinin kuruluş için çalıştığını doğrulamak için kuruluşla iletişim kurmasını gerektirir.
Bunun aksine, yalnızca alan adı sertifikası doğrulaması, alanın whois kayıtlarına, kayıt sahibinin aynı bilgiyi kullandığını doğrulamak için bir göz atabilir."Localhost" gibi alanlar için sertifika verilmesi, bazı sertifika yetkililerinin bu doğrulamayı bile yapmadığını ima eder. EV sertifikaları, temel olarak, sertifika yetkililerine halkın güvenini kazandırma ve sahtekârlara karşı kapı görevlisi rolünü geri yükleme girişimidir.