Kā pārlūkprogrammas pārbauda tīmekļa vietnes identitātes un aizsargā pret ziņotājiem
Vai esat kādreiz ievērojuši, ka jūsu pārlūkprogramma dažreiz šifrētā tīmekļa vietnē parāda vietnes organizācijas nosaukumu? Šī ir zīme, ka vietnei ir paplašināts validācijas sertifikāts, kas norāda, ka vietnes identitāte ir pārbaudīta.
EV sertifikāti nesniedz papildu šifrēšanas spēku - tā vietā EV sertifikāts norāda, ka ir veikta plaša vietnes identitātes pārbaude. Standarta SSL sertifikāti nodrošina ļoti mazu vietnes identitātes verifikāciju.
Kā pārlūkprogrammās tiek rādīti paplašinātie validācijas sertifikāti
Šifrētā tīmekļa vietnē, kurā neizmanto paplašināto validācijas sertifikātu, Firefox saka, ka vietne ir “darbojas (nav zināms)”.
Chrome neuzrāda neko citādi un saka, ka vietnes identitāti pārbaudīja sertifikāta iestāde, kas izdevusi vietnes sertifikātu.
Kad esat izveidojis savienojumu ar vietni, kas izmanto paplašinātu validācijas sertifikātu, Firefox stāsta, ka to vada konkrēta organizācija. Saskaņā ar šo dialogu VeriSign ir pārliecinājies, ka esam izveidojuši savienojumu ar reālo PayPal tīmekļa vietni, kuru vada PayPal, Inc.
Kad esat izveidojis savienojumu ar vietni, kas pārlūkā Chrome izmanto EV sertifikātu, organizācijas nosaukums parādās jūsu adrešu joslā. Informācijas dialoglodziņš norāda, ka PayPal identitāti ir pārbaudījusi VeriSign, izmantojot paplašinātu validācijas sertifikātu.
Problēma ar SSL sertifikātiem
Pirms gadiem sertifikāta izdevējiestādes pirms sertifikāta izsniegšanas pārbaudīja vietnes identitāti. Sertifikāta iestāde pārbaudītu, vai uzņēmums, kas pieprasa sertifikātu, ir reģistrēts, izsauciet tālruņa numuru un pārbaudiet, vai uzņēmums ir likumīga darbība, kas atbilst vietnei.
Galu galā sertifikātu iestādes sāka piedāvāt tikai “domēna” sertifikātus. Tie bija lētāki, jo sertifikāta iestādei bija mazāk darba, lai ātri pārbaudītu, vai pieprasītājam pieder konkrēts domēns (tīmekļa vietne).
Pikšķerētāji galu galā to izmantoja. Phisher var reģistrēt domēnu paypall.com un iegādāties tikai domēna sertifikātu. Kad lietotājs ir savienojies ar paypall.com, lietotāja pārlūkprogrammā parādīsies standarta bloķēšanas ikona, kas nodrošina nepareizu drošības sajūtu. Pārlūkprogrammās nav redzama atšķirība starp tikai domēna sertifikātu un sertifikātu, kas ietver plašāku vietnes identitātes pārbaudi.
Sabiedrības uzticēšanās sertifikātu iestādēm, lai pārbaudītu tīmekļa vietnes, ir samazinājusies - tas ir tikai viens piemērs sertifikātu iestādēm, kas nav veikušas pienācīgu rūpību. Elektroniskās robežas fonds 2011. gadā konstatēja, ka sertifikātu iestādes ir izsniegušas vairāk nekā 2000 sertifikātus “localhost” - nosaukums, kas vienmēr attiecas uz jūsu pašreizējo datoru. (Avots) Nepareizās rokās šāds sertifikāts varētu padarīt cilvēka vidū uzbrukumus vieglākus.
Kā paplašināti apstiprināšanas sertifikāti ir atšķirīgi
EV sertifikāts norāda, ka sertifikāta iestāde ir pārliecinājusies, ka vietni vada konkrēta organizācija. Piemēram, ja phisher mēģināja iegūt EV sertifikātu paypall.com, pieprasījums tiks atcelts.
Atšķirībā no standarta SSL sertifikātiem EV sertifikātus var izsniegt tikai sertifikācijas iestādes, kas veic neatkarīgu revīziju. Sertifikācijas iestāde / pārlūkprogrammas forums (CA / Browser Forum), brīvprātīga sertifikācijas iestāžu un pārlūku piegādātāju organizācija, piemēram, Mozilla, Google, Apple un Microsoft, izsniedz stingras vadlīnijas, kas jāievēro visām sertifikācijas iestādēm, kas izsniedz paplašinātus apstiprināšanas sertifikātus. Tas ideāli liedz sertifikātu iestādēm iesaistīties citā „sacensībā uz leju”, kur viņi izmanto laipas verifikācijas praksi, lai piedāvātu lētākus sertifikātus.
Īsi sakot, vadlīnijas pieprasa, lai sertifikāta iestādes pārbaudītu, vai organizācija, kas pieprasa sertifikātu, ir oficiāli reģistrēta, ka tai pieder attiecīgais domēns, un ka persona, kas pieprasa sertifikātu, darbojas organizācijas vārdā. Tas nozīmē, ka jāpārbauda valdības ieraksti, jāsazinās ar domēna īpašnieku un jāsazinās ar organizāciju, lai pārliecinātos, ka persona, kas pieprasa sertifikātu, darbojas organizācijā.
Pretstatā tam, tikai domēna sertifikāta verifikācija var ietvert tikai domēna vārdu ierakstus, lai pārliecinātos, ka reģistrētājs izmanto to pašu informāciju. Sertifikātu izsniegšana tādiem domēniem kā “localhost” nozīmē, ka dažas sertifikātu iestādes pat neveic tik daudz pārbaudes. EV sertifikāti būtībā ir mēģinājums atjaunot sabiedrības uzticību sertifikātu iestādēm un atjaunot to kā vārtu sargu lomu pret apsūdzībām..