Pagina principala » HOWTO » Modul în care browserele verifică identitățile site-ului și protejează impotriva impostrilor

    Modul în care browserele verifică identitățile site-ului și protejează impotriva impostrilor

    Ați observat vreodată că browserul dvs. afișează uneori numele organizației unui site pe un site criptat? Acesta este un semn că site-ul web are un certificat de validare extins, indicând faptul că identitatea site-ului a fost verificată.

    Certificatele EV nu oferă nicio putere suplimentară de criptare - în schimb, un certificat EV indică faptul că a avut loc o verificare amplă a identității site-ului. Certificatele SSL standard oferă o foarte mică verificare a identității unui site web.

    Modul în care browserele afișează certificate de validare extinsă

    Pe un site web criptat care nu utilizează un certificat de validare extins, Firefox declară că site-ul este "rulat de (necunoscut)".

    Chrome nu afișează nimic diferit și afirmă că identitatea site-ului web a fost verificată de autoritatea de certificare care a emis certificatul site-ului web.

    Când sunteți conectat (ă) la un site care utilizează un certificat de validare extins, Firefox vă spune că acesta este rulat de o anumită organizație. Conform acestui dialog, VeriSign a verificat că suntem conectați la site-ul PayPal real, care este administrat de PayPal, Inc.

    Când sunteți conectat (ă) la un site care utilizează un certificat EV în Chrome, numele organizației apare în bara de adrese. Dialogul de informații ne spune că identitatea PayPal a fost verificată de VeriSign utilizând un certificat de validare extins.

    Problema cu certificatele SSL

    Cu ani în urmă, autoritățile de certificare au folosit pentru a verifica identitatea unui site web înainte de a emite un certificat. Autoritatea de certificare ar verifica dacă firma care a solicitat certificatul a fost înregistrată, apelează numărul de telefon și verifică dacă afacerea era o operațiune legitimă care corespundea site-ului web.

    În cele din urmă, autoritățile de certificare au început să ofere certificate "numai pentru domenii". Acestea au fost mai ieftine, deoarece a fost mai puțin de lucru pentru autoritatea de certificare să verifice rapid că solicitantul deține un anumit domeniu (site-ul web).

    În cele din urmă, Phishers a început să profite de acest lucru. Un phisher poate înregistra domeniul paypall.com și poate achiziționa un certificat de domeniu numai. Atunci când un utilizator conectat la paypall.com, browser-ul utilizatorului ar afișa pictograma de blocare standard, oferind un fals sentiment de securitate. Browserele nu au afișat diferența dintre un certificat de domeniu exclusiv și un certificat care implică o verificare mai amplă a identității site-ului web.

    Increderea publica in autoritatile de certificare pentru a verifica site-urile a scazut - acesta este doar un exemplu de autoritate de certificare care nu a facut due diligence. În 2011, Fundația Electronic Frontier a constatat că autoritățile de certificare au eliberat peste 2000 de certificate pentru "localhost" - un nume care se referă întotdeauna la calculatorul dvs. curent. (Sursa) În mâinile greșite, un astfel de certificat ar putea face mai ușor atacurile "man-in-the-middle".

    Modul în care certificatele de validare extinsă sunt diferite

    Un certificat EV indică faptul că o autoritate de certificare a verificat dacă site-ul Web este gestionat de o anumită organizație. De exemplu, dacă un phisher a încercat să obțină un certificat EV pentru paypall.com, cererea va fi respinsă.

    Spre deosebire de certificatele SSL standard, numai autorităților de certificare care efectuează un audit independent au voie să emită certificate EV. Autoritatea de certificare / Forumul browserului (CA / Browser Forum), o organizație voluntară a autorităților de certificare și a furnizorilor de browsere, precum Mozilla, Google, Apple și Microsoft, emite recomandări stricte conform cărora trebuie să urmeze toate autoritățile de certificare care eliberează certificate de validare extinse. Acest lucru împiedică în mod ideal autoritățile de certificare să se angajeze într-o altă "cursă spre fund", unde utilizează practici de verificare lax pentru a oferi certificate mai ieftine.

    Pe scurt, orientările solicită ca autoritățile de certificare să verifice dacă organizația care solicită certificatul este înregistrată oficial, că deține domeniul respectiv și că persoana care solicită certificatul acționează în numele organizației. Aceasta implică verificarea înregistrărilor guvernamentale, contactarea proprietarului domeniului și contactarea organizației pentru a verifica dacă persoana care solicită certificatul funcționează pentru organizație.

    În schimb, o verificare a unui certificat numai pe domenii ar putea implica doar o privire asupra înregistrărilor din care sunt înregistrate domeniile pentru a verifica dacă solicitantul înregistrării utilizează aceleași informații. Emiterea de certificate pentru domenii precum "localhost" implică faptul că unele autorități de certificare nu fac nici măcar această verificare. Certificatele EV sunt, în mod fundamental, o încercare de a restabili încrederea publicului în autoritățile de certificare și de a restabili rolul lor de portar împotriva impostorilor.