Jak przeglądarki Weryfikują tożsamość witryny i chronią przed oszustami
Czy zauważyłeś, że Twoja przeglądarka czasami wyświetla nazwę organizacji witryny na zaszyfrowanej stronie internetowej? Jest to znak, że witryna ma rozszerzony certyfikat walidacji, co wskazuje, że tożsamość witryny została zweryfikowana.
Certyfikaty EV nie zapewniają dodatkowej siły szyfrowania - zamiast tego certyfikat EV wskazuje, że nastąpiła szczegółowa weryfikacja tożsamości witryny. Standardowe certyfikaty SSL zapewniają bardzo małą weryfikację tożsamości witryny.
Jak przeglądarki wyświetlają certyfikaty rozszerzonej walidacji
Na zaszyfrowanej stronie internetowej, która nie korzysta z rozszerzonego certyfikatu walidacji, Firefox mówi, że strona internetowa jest "prowadzona przez (nieznane)".
Chrome nie wyświetla niczego inaczej i twierdzi, że tożsamość witryny została zweryfikowana przez urząd certyfikacji, który wydał certyfikat witryny.
Po nawiązaniu połączenia z witryną, która korzysta z rozszerzonego certyfikatu sprawdzania poprawności, Firefox informuje, że jest obsługiwana przez określoną organizację. Zgodnie z tym dialogiem, VeriSign zweryfikuje, że jesteśmy podłączeni do prawdziwej witryny PayPal, prowadzonej przez PayPal, Inc.
Gdy masz połączenie z witryną, która korzysta z certyfikatu EV w Chrome, nazwa organizacji pojawia się na pasku adresu. Okno informacyjne informuje nas, że tożsamość PayPal została zweryfikowana przez VeriSign przy użyciu rozszerzonego certyfikatu walidacyjnego.
Problem z certyfikatami SSL
Kilka lat temu, urzędy certyfikacji wykorzystały do weryfikacji tożsamości witryny przed wydaniem certyfikatu. Urząd certyfikacji sprawdzi, czy firma żądająca certyfikatu została zarejestrowana, zadzwonić pod numer telefonu i zweryfikować, czy firma była legalną operacją zgodną z witryną.
Ostatecznie urzędy certyfikacji zaczęły oferować certyfikaty "tylko domeny". Były one tańsze, ponieważ dla urzędu certyfikacji było mniej pracy, aby szybko sprawdzić, czy wnioskodawca jest właścicielem określonej domeny (witryny).
Phisherzy w końcu zaczęli wykorzystywać to. Phisher może zarejestrować domenę paypall.com i kupić certyfikat tylko domeny. Gdy użytkownik jest podłączony do serwisu paypall.com, przeglądarka użytkownika wyświetla standardową ikonę kłódki, zapewniając fałszywe poczucie bezpieczeństwa. Przeglądarki nie wyświetlały różnicy między certyfikatem domeny i certyfikatem, który wymagałby dokładniejszej weryfikacji tożsamości witryny.
Zaufanie publiczne do organów certyfikacyjnych do weryfikacji stron internetowych spadło - jest to tylko jeden przykład, w którym organy certyfikacyjne nie wykonały należytej staranności. W 2011 r. Electronic Frontier Foundation stwierdziło, że urzędy certyfikacji wydały ponad 2000 certyfikatów dla "localhost" - nazwy, która zawsze odnosi się do obecnego komputera. (Źródło) W niewłaściwych rękach taki certyfikat może ułatwić ataki man-in-the-middle.
Czym różnią się certyfikaty Extended Validation
Certyfikat EV wskazuje, że urząd certyfikacji sprawdził, czy witryna jest obsługiwana przez określoną organizację. Na przykład, jeśli phisher spróbuje uzyskać certyfikat EV dla serwisu paypall.com, żądanie zostanie odrzucone.
W przeciwieństwie do standardowych certyfikatów SSL tylko certyfikaty, które pomyślnie przejdą niezależny audyt, mogą wydawać certyfikaty EV. Forum urzędu certyfikacji / przeglądarki (CA / Browser Forum), dobrowolna organizacja urzędów certyfikacji i dostawców przeglądarek, takich jak Mozilla, Google, Apple i Microsoft, wydaje surowe wytyczne, które muszą spełniać wszystkie urzędy certyfikacji wydające rozszerzone certyfikaty walidacyjne. W idealnej sytuacji uniemożliwi to organom wydającym certyfikaty udział w kolejnym "wyścigu do dna", w którym stosują praktyki zwolnienia z weryfikacji, aby oferować tańsze certyfikaty.
Krótko mówiąc, wytyczne wymagają, aby urzędy certyfikacji zweryfikowały, czy organizacja wnioskująca o certyfikat jest oficjalnie zarejestrowana, że jest właścicielem danej domeny i że osoba żądająca certyfikatu działa w imieniu organizacji. Obejmuje to sprawdzenie rekordów rządowych, skontaktowanie się z właścicielem domeny i skontaktowanie się z organizacją w celu sprawdzenia, czy osoba wnioskująca o certyfikat działa dla organizacji.
W przeciwieństwie do tego, weryfikacja certyfikatu tylko do domeny może obejmować tylko przegląd rekordów Whois domeny w celu zweryfikowania, czy rejestrujący używa tych samych informacji. Wydawanie certyfikatów dla domen takich jak "localhost" oznacza, że niektóre urzędy certyfikacji nawet nie przeprowadzają takiej weryfikacji. Certyfikaty EV są zasadniczo próbą przywrócenia zaufania publicznego do urzędów certyfikacji i przywrócenia ich roli jako strażników przeciwko oszustom..