Všimli jste si někdy, že váš prohlížeč někdy zobrazuje název organizace webu na šifrovaném webu? Toto je znamení, že web má rozšířený ověřovací certifikát, což znamená, že byla ověřena identita webu.
Certifikáty EV neposkytují žádnou další sílu šifrování - místo toho certifikát EV naznačuje, že proběhlo rozsáhlé ověření identity webu. Standardní certifikáty SSL poskytují velmi malé ověření identity webu.
Jak prohlížeče zobrazují rozšířené ověřovací certifikáty
Na šifrovaném webu, který nepoužívá rozšířený ověřovací certifikát, Firefox říká, že je web „spuštěn (neznámý)“.
Chrome nezobrazuje nic jinak a říká, že identita webu byla ověřena certifikační autoritou, která vydala certifikát webu.
Když jste připojeni k webu, který používá rozšířený ověřovací certifikát, Firefox vám řekne, že je spuštěn konkrétní organizací. Podle tohoto dialogu společnost VeriSign ověřila, že jsme připojeni ke skutečnému webu PayPal, který provozuje společnost PayPal, Inc.
Pokud jste připojeni k webu, který v prohlížeči Chrome používá certifikát EV, zobrazí se v adresním řádku název organizace. Informační dialog nám říká, že identita PayPal byla ověřena společností VeriSign pomocí rozšířeného ověřovacího certifikátu.
Problém s certifikáty SSL
Před lety certifikační autority používaly k ověření identity webu před vydáním certifikátu. Certifikační autorita zkontroluje, zda byla firma požadující certifikát zaregistrována, zavolá na telefonní číslo a ověří, zda se jedná o legitimní operaci, která se shodovala s webem.
Nakonec certifikační autority začaly nabízet certifikáty „pouze pro doménu“. Byly levnější, protože pro certifikační autoritu bylo méně práce rychle zkontrolovat, zda žadatel vlastnil konkrétní doménu (web).
Phishers to nakonec začaly využívat. Phisher si mohl zaregistrovat doménu paypall.com a zakoupit certifikát pouze pro doménu. Když se uživatel připojí k paypall.com, zobrazí se v prohlížeči jeho uživatele ikona standardního zámku, což poskytuje falešný pocit bezpečí. Prohlížeče nezobrazily rozdíl mezi certifikátem pouze pro doménu a certifikátem, který zahrnoval rozsáhlejší ověření identity webu.
Veřejná důvěra v certifikační autority k ověřování webových stránek klesla - to je jen jeden příklad certifikačních autorit, které neplní svou náležitou péči. V roce 2011 nadace Electronic Frontier Foundation zjistila, že certifikační autority vydaly více než 2000 certifikátů pro „localhost“ - název, který vždy odkazuje na váš aktuální počítač. ( Zdroj ) Ve špatných rukou by takový certifikát mohl usnadnit útoky typu man-in-the-middle.
Jak se liší certifikáty rozšířeného ověření
Certifikát EV označuje, že certifikační autorita ověřila, že web provozuje konkrétní organizace. Pokud by se například phisher pokusil získat certifikát EV pro paypall.com, požadavek by byl odmítnut.
Na rozdíl od standardních certifikátů SSL mohou vydávat certifikáty EV pouze certifikační autority, které projdou nezávislým auditem. Fórum certifikační autority / prohlížeče (CA / Browser Forum), dobrovolná organizace certifikačních autorit a prodejců prohlížečů, jako jsou Mozilla, Google, Apple a Microsoft. přísné pokyny které musí dodržovat všechny certifikační autority vydávající certifikáty rozšířené validace. To v ideálním případě zabrání certifikačním autoritám zapojit se do dalšího „závodu o dno“, kde pomocí laxních ověřovacích postupů nabízejí levnější certifikáty.
Stručně řečeno, pokyny požadují, aby certifikační autority ověřily, že organizace požadující certifikát je oficiálně zaregistrována, aby vlastnila danou doménu a aby osoba požadující certifikát jednala jménem organizace. To zahrnuje kontrolu vládních záznamů, kontaktování vlastníka domény a kontaktování organizace za účelem ověření, zda osoba požadující certifikát pro danou organizaci funguje.
Naproti tomu ověření certifikátu pouze pro doménu může zahrnovat pouze pohled na záznamy whois domény, aby se ověřilo, že žadatel o registraci používá stejné informace. Vydávání certifikátů pro domény, jako je „localhost“, znamená, že některé certifikační autority tolik ověřování ani neprovádějí. Certifikáty EV jsou v zásadě pokusem o obnovení důvěry veřejnosti v certifikační autority a obnovení jejich role vrátných proti podvodníkům.
