Kako preglednici provjeravaju identitete web-mjesta i štite od impostera
Jeste li ikada primijetili da vaš preglednik ponekad prikazuje naziv organizacije web-lokacije na kriptiranoj web-lokaciji? To je znak da web-lokacija ima prošireni certifikat potvrde, što znači da je potvrđen identitet web-lokacije.
EV certifikati ne pružaju nikakvu dodatnu snagu šifriranja - umjesto toga, EV certifikat pokazuje da je izvršena opsežna provjera identiteta web-mjesta. Standardni SSL certifikati pružaju vrlo malo provjere identiteta web-lokacije.
Kako preglednici prikazuju certifikate proširene provjere valjanosti
Na šifriranoj web-lokaciji koja ne koristi prošireni certifikat za provjeru valjanosti, Firefox kaže da je web-lokacija "pokrenuta (nepoznata)."
Chrome ne prikazuje ništa drugačije i kaže da je identitet web-lokacije potvrdio autoritet za izdavanje certifikata koji je izdao certifikat web-lokacije.
Kada ste povezani s web-lokacijom koja koristi prošireni certifikat potvrde, Firefox vam kaže da je pokreće određena organizacija. Sukladno ovom dijalogu, VeriSign je potvrdio da smo povezani s pravom PayPal web stranicom, koju vodi PayPal, Inc.
Kada ste povezani s web-lokacijom koja upotrebljava EV certifikat u Chromeu, naziv organizacije pojavljuje se u adresnoj traci. Dijalog s informacijama nam govori da je VeriSign potvrdio identitet PayPal-a koristeći prošireni certifikat potvrde.
Problem s SSL certifikatima
Prije nekoliko godina, izdavatelji certifikata provjerili su identitet web-lokacije prije izdavanja certifikata. Tijelo za izdavanje certifikata provjerilo je je li posao koji zahtijeva certifikat registriran, nazvao telefonski broj i potvrdio da je tvrtka legitimna operacija koja odgovara web-lokaciji.
S vremenom su tijela za izdavanje certifikata počela nuditi certifikate samo za domenu. To je bilo jeftinije, jer je za izdavača certifikata bilo manje posla da brzo provjeri je li podnositelj zahtjeva imao određenu domenu (web-lokaciju).
Phishers su naposljetku počeli iskorištavati ovu prednost. Fišer može registrirati domenu paypall.com i kupiti certifikat samo za domenu. Kada se korisnik poveže s paypall.com, korisnikov preglednik prikazat će standardnu ikonu zaključavanja koja pruža lažni osjećaj sigurnosti. Preglednici nisu prikazali razliku između certifikata samo za domenu i certifikata koji uključuje opsežniju provjeru identiteta web-lokacije.
Povjerenje javnosti u certifikacijska tijela za provjeru internetskih stranica je palo - to je samo jedan primjer certifikacijskih tijela koje nisu uspjele izvršiti dužnu pažnju. Tvrtka Electronic Frontier Foundation 2011. otkrila je da su tijela za izdavanje certifikata izdala više od 2000 certifikata za “localhost” - ime koje se uvijek odnosi na vaše trenutno računalo. (Izvor) U pogrešnim rukama, takav bi certifikat mogao olakšati napade čovjeka u sredini.
Kako se prošireni certifikati provjere valjanosti razlikuju
EV certifikat označava da je certifikacijsko tijelo potvrdilo da web-mjesto vodi određena organizacija. Na primjer, ako je phisher pokušao dobiti EV certifikat za paypall.com, zahtjev će biti odbijen.
Za razliku od standardnih SSL certifikata, samo certifikacijska tijela koja prolaze neovisnu reviziju mogu izdavati EV certifikate. Tijelo za ovjeravanje / forum za preglednike (CA / Browser Forum), dobrovoljna organizacija za izdavanje certifikata i dobavljače preglednika kao što su Mozilla, Google, Apple i Microsoft izdaju stroge smjernice koje moraju slijediti sve certifikacijske ustanove koje izdaju proširene potvrde o valjanosti. To idealno sprječava certifikacijske ustanove da se upuste u drugu "utrku do dna", gdje koriste slabu praksu provjere kako bi ponudili jeftinije certifikate.
Ukratko, smjernice zahtijevaju da tijela za izdavanje certifikata potvrde da je organizacija koja traži certifikat službeno registrirana, da posjeduje predmetnu domenu i da osoba koja traži certifikat djeluje u ime organizacije. To uključuje provjeru vladinih zapisa, kontaktiranje vlasnika domene i kontaktiranje organizacije kako bi se provjerilo radi li osoba koja traži certifikat za organizaciju.
Nasuprot tome, provjera certifikata samo za domenu može uključivati samo pogled na Whois zapise domene kako bi se provjerilo koristi li korisnik iste podatke. Izdavanje certifikata za domene kao što je "localhost" podrazumijeva da neke certifikacijske ustanove čak ne rade toliko provjere. EV certifikati su, u osnovi, pokušaj da se povrati povjerenje javnosti u certifikacijske organe i obnovi njihova uloga čuvara vrata protiv prevaranata.