Έχετε παρατηρήσει ποτέ ότι το πρόγραμμα περιήγησής σας εμφανίζει μερικές φορές το όνομα οργανισμού ενός ιστότοπου σε έναν κρυπτογραφημένο ιστότοπο; Αυτό είναι ένα σημάδι ότι ο ιστότοπος διαθέτει εκτεταμένο πιστοποιητικό επικύρωσης, που δείχνει ότι η ταυτότητα του ιστότοπου έχει επαληθευτεί.
Τα πιστοποιητικά EV δεν παρέχουν επιπλέον ισχύ κρυπτογράφησης - αντ 'αυτού, ένα πιστοποιητικό EV υποδεικνύει ότι έχει πραγματοποιηθεί εκτεταμένη επαλήθευση της ταυτότητας του ιστότοπου. Τα τυπικά πιστοποιητικά SSL παρέχουν πολύ λίγη επαλήθευση της ταυτότητας ενός ιστότοπου.
Πώς τα προγράμματα περιήγησης εμφανίζουν εκτεταμένα πιστοποιητικά επικύρωσης
Σε έναν κρυπτογραφημένο ιστότοπο που δεν χρησιμοποιεί εκτεταμένο πιστοποιητικό επικύρωσης, ο Firefox δηλώνει ότι ο ιστότοπος «διευθύνεται από (άγνωστο)».
Το Chrome δεν εμφανίζει τίποτα διαφορετικά και λέει ότι η ταυτότητα του ιστότοπου επαληθεύτηκε από την αρχή έκδοσης πιστοποιητικών που εξέδωσε το πιστοποιητικό του ιστότοπου.
Όταν είστε συνδεδεμένοι σε έναν ιστότοπο που χρησιμοποιεί εκτεταμένο πιστοποιητικό επικύρωσης, ο Firefox σάς ενημερώνει ότι διευθύνεται από έναν συγκεκριμένο οργανισμό. Σύμφωνα με αυτό το διάλογο, η VeriSign επαλήθευσε ότι είμαστε συνδεδεμένοι στον πραγματικό ιστότοπο PayPal, τον οποίο διαχειρίζεται η PayPal, Inc.
Όταν είστε συνδεδεμένοι σε έναν ιστότοπο που χρησιμοποιεί πιστοποιητικό EV στο Chrome, το όνομα του οργανισμού εμφανίζεται στη γραμμή διευθύνσεών σας. Ο διάλογος πληροφοριών μας λέει ότι η ταυτότητα του PayPal έχει επαληθευτεί από το VeriSign χρησιμοποιώντας ένα εκτεταμένο πιστοποιητικό επικύρωσης.
Το πρόβλημα με τα πιστοποιητικά SSL
Πριν από χρόνια, οι αρχές έκδοσης πιστοποιητικών χρησιμοποιούσαν την επαλήθευση της ταυτότητας ενός ιστότοπου προτού εκδώσουν ένα πιστοποιητικό. Η αρχή έκδοσης πιστοποιητικών θα ελέγξει εάν η επιχείρηση που ζητούσε το πιστοποιητικό έχει καταχωρηθεί, καλεί τον αριθμό τηλεφώνου και επαληθεύει ότι η επιχείρηση ήταν μια νόμιμη λειτουργία που ταιριάζει με τον ιστότοπο.
Τελικά, οι αρχές έκδοσης πιστοποιητικών άρχισαν να προσφέρουν πιστοποιητικά «μόνο για τομέα». Αυτά ήταν φθηνότερα, καθώς ήταν λιγότερο δουλειά για την αρχή έκδοσης πιστοποιητικών να ελέγξει γρήγορα ότι ο αιτών κατείχε έναν συγκεκριμένο τομέα (ιστότοπος).
Οι Phishers άρχισαν τελικά να το εκμεταλλεύονται. Ένας phisher θα μπορούσε να εγγράψει τον τομέα paypall.com και να αγοράσει ένα πιστοποιητικό μόνο για τομέα. Όταν ένας χρήστης που συνδέεται στο paypall.com, το πρόγραμμα περιήγησης του χρήστη θα εμφανίζει το τυπικό εικονίδιο κλειδώματος, παρέχοντας μια ψευδή αίσθηση ασφάλειας. Τα προγράμματα περιήγησης δεν εμφάνισαν τη διαφορά μεταξύ ενός πιστοποιητικού μόνο για τομέα και ενός πιστοποιητικού που περιελάμβανε εκτενέστερη επαλήθευση της ταυτότητας του ιστότοπου.
Η εμπιστοσύνη του κοινού στις αρχές έκδοσης πιστοποιητικών για την επαλήθευση ιστοτόπων έχει μειωθεί - αυτό είναι μόνο ένα παράδειγμα των αρχών έκδοσης πιστοποιητικών που δεν έδωσαν τη δέουσα επιμέλεια. Το 2011, το Electronic Frontier Foundation διαπίστωσε ότι οι αρχές έκδοσης πιστοποιητικών είχαν εκδώσει πάνω από 2000 πιστοποιητικά για το "localhost" - ένα όνομα που αναφέρεται πάντα στον τρέχοντα υπολογιστή σας. ( Πηγή ) Σε λάθος χέρια, ένα τέτοιο πιστοποιητικό θα μπορούσε να διευκολύνει τις επιθέσεις man-in-the-middle.
Πώς τα πιστοποιητικά εκτεταμένης επικύρωσης είναι διαφορετικά
Ένα πιστοποιητικό EV υποδεικνύει ότι μια αρχή έκδοσης πιστοποιητικών έχει επαληθεύσει ότι ο ιστότοπος λειτουργεί από έναν συγκεκριμένο οργανισμό. Για παράδειγμα, εάν ένας phisher προσπάθησε να λάβει πιστοποιητικό EV για το paypall.com, το αίτημα θα απορρίφθηκε.
Σε αντίθεση με τα τυπικά πιστοποιητικά SSL, μόνο οι αρχές έκδοσης πιστοποιητικών που περνούν ανεξάρτητο έλεγχο επιτρέπεται να εκδίδουν πιστοποιητικά EV. Το Φόρουμ Αρχής Πιστοποίησης / Πρόγραμμα περιήγησης (CA / Browser Forum), ένας εθελοντικός οργανισμός αρχών πιστοποίησης και προμηθευτές προγραμμάτων περιήγησης, όπως ζητήματα Mozilla, Google, Apple και Microsoft αυστηρές οδηγίες ότι πρέπει να ακολουθούν όλες οι αρχές έκδοσης πιστοποιητικών που εκδίδουν εκτεταμένα πιστοποιητικά επικύρωσης. Αυτό αποτρέπει ιδανικά τις αρχές έκδοσης πιστοποιητικών να συμμετάσχουν σε μια άλλη «κούρσα προς τα κάτω», όπου χρησιμοποιούν χαλαρές πρακτικές επαλήθευσης για να προσφέρουν φθηνότερα πιστοποιητικά.
Εν ολίγοις, οι οδηγίες απαιτούν από τις αρχές έκδοσης πιστοποιητικών να επαληθεύσουν ότι ο οργανισμός που ζητά το πιστοποιητικό είναι επίσημα εγγεγραμμένος, ότι κατέχει τον εν λόγω τομέα και ότι το άτομο που ζητά το πιστοποιητικό ενεργεί εκ μέρους του οργανισμού. Αυτό περιλαμβάνει τον έλεγχο κυβερνητικών εγγραφών, την επικοινωνία με τον κάτοχο του τομέα και την επικοινωνία με τον οργανισμό για να επαληθεύσει ότι το άτομο που ζητά το πιστοποιητικό λειτουργεί για τον οργανισμό.
Αντιθέτως, η επαλήθευση πιστοποιητικού μόνο για τομέα ενδέχεται να περιλαμβάνει μόνο μια ματιά στις εγγραφές Whois του τομέα για να επαληθεύσει ότι ο καταχωρίζων χρησιμοποιεί τις ίδιες πληροφορίες. Η έκδοση πιστοποιητικών για τομείς όπως το "localhost" συνεπάγεται ότι ορισμένες αρχές έκδοσης πιστοποιητικών δεν κάνουν καν τόσο μεγάλη επαλήθευση. Τα πιστοποιητικά EV είναι, ουσιαστικά, μια προσπάθεια να αποκατασταθεί η εμπιστοσύνη του κοινού στις αρχές έκδοσης πιστοποιητικών και να αποκατασταθεί ο ρόλος τους ως φύλακες έναντι των απατεώνων.
