Как браузърите проверяват самоличността на уебсайта и защитават от измамници
Забелязали ли сте, че браузърът ви понякога показва името на организацията на уебсайт на криптиран уебсайт? Това е знак, че уебсайтът има разширен сертификат за удостоверяване, което показва, че самоличността на уебсайта е потвърдена.
Сертификатите за EV не осигуряват никаква допълнителна сила на криптиране - вместо това сертификатът за EV показва, че е извършена обширна проверка на самоличността на уебсайта. Стандартните SSL сертификати осигуряват много малка проверка на самоличността на даден уебсайт.
Как браузърите показват разширени сертификати за проверка
На криптиран уебсайт, който не използва разширен сертификат за валидиране, Firefox казва, че уебсайтът е „управляван от (неизвестен)“.
Chrome не показва нищо по различен начин и казва, че самоличността на уебсайта е потвърдена от сертифициращия орган, издал сертификата на уебсайта.
Когато сте свързани към уебсайт, който използва разширен сертификат за валидиране, Firefox ви казва, че се управлява от конкретна организация. Според този диалог, VeriSign е потвърдил, че сме свързани с истинския уебсайт на PayPal, който се управлява от PayPal, Inc.
Когато сте свързани към сайт, който използва сертификат за EV в Chrome, името на организацията се показва в адресната лента. Информационният диалог ни казва, че самоличността на PayPal е потвърдена от VeriSign чрез разширен сертификат за валидиране.
Проблемът със SSL сертификатите
Преди години органите по сертифициране провериха самоличността на уебсайт, преди да издадат сертификат. Органът за сертифициране ще провери дали фирмата, поискала сертификата, е регистрирана, обади се на телефонния номер и провери дали бизнесът е легитимна операция, която съответства на уебсайта..
В крайна сметка сертифициращите органи започнаха да предлагат сертификати само за домейн. Те бяха по-евтини, тъй като сертифициращият орган не работеше по-лесно да проверява бързо дали заявителят притежава конкретен домейн (уебсайт).
Фишърите в крайна сметка започнаха да се възползват от това. Фишър може да регистрира домейна paypall.com и да закупи сертификат само за домейн. Когато потребителят е свързан с paypall.com, браузърът на потребителя ще покаже стандартната икона за заключване, предоставяща фалшиво чувство за сигурност. Браузърите не показват разликата между сертификат само за домейн и сертификат, който включва по-обширна проверка на самоличността на уебсайта.
Общественото доверие в сертификационните органи за проверка на уебсайтовете е спаднало - това е само един пример, когато сертифициращите органи не успяват да извършат дължимата грижа. През 2011 г. Electronic Frontier Foundation установи, че сертифициращите органи са издали над 2000 сертификата за „localhost“ - име, което винаги се отнася до текущия ви компютър. (Източник) В погрешни ръце такъв сертификат може да улесни атаките от средата на средата.
Различните сертификати за разширена валидация
Сертификатът за EV показва, че сертифициращият орган е проверил, че уебсайтът се управлява от конкретна организация. Например, ако фишингът се опита да получи сертификат за EV за paypall.com, заявката ще бъде отхвърлена.
За разлика от стандартните SSL сертификати, само сертифициращите органи, които преминават независим одит, могат да издават сертификати за EV. Сертифициращият орган / Форум на браузърите (CA / Browser Forum), доброволна организация на сертифициращи органи и производители на браузъри като Mozilla, Google, Apple и Microsoft издава строги насоки, които трябва да следват всички сертифициращи органи, които издават разширени сертификати за валидиране. Това в идеалния случай не позволява на сертифициращите органи да се включат в друго „състезание до дъното“, където използват слаби практики за проверка, за да предложат по-евтини сертификати..
Накратко, насоките изискват сертифициращите органи да удостоверят, че организацията, поискала сертификата, е официално регистрирана, че притежава въпросния домейн и че лицето, което иска удостоверението, действа от името на организацията. Това включва проверка на правителствени записи, свързване със собственика на домейна и свързване с организацията, за да се провери дали лицето, което иска сертификата, работи за организацията.
За разлика от това, проверката само на сертификат за домейн може да включва само поглед към регистрите на whois на домейна, за да се провери дали регистрантът използва същата информация. Издаването на сертификати за домейни като „localhost“ означава, че някои сертифициращи органи дори не правят толкова много проверки. В основата си сертификатите за EV са опит да се възстанови общественото доверие в сертификационните органи и да се възстанови тяхната роля като пазачи срещу измамници.