Oletko koskaan huomannut, että selaimesi näyttää joskus verkkosivuston organisaation nimen salatussa verkkosivustossa? Tämä on merkki siitä, että verkkosivustolla on laajennettu varmennevarmenne, joka osoittaa, että verkkosivuston henkilöllisyys on vahvistettu.
EV-varmenteet eivät tarjoa ylimääräistä salauksen vahvuutta - sen sijaan EV-varmenne osoittaa, että verkkosivuston henkilöllisyys on tarkistettu perusteellisesti. Tavalliset SSL-varmenteet varmistavat hyvin vähän verkkosivuston henkilöllisyyden.
Kuinka selaimet näyttävät laajennettuja varmenteita
Salatulla verkkosivustolla, joka ei käytä laajennettua varmennevarmennetta, Firefox sanoo, että verkkosivustoa ylläpitää (tuntematon).
Chrome ei näytä mitään toisin ja sanoo, että verkkosivuston varmenteen myöntänyt varmentaja vahvisti verkkosivuston identiteetin.
Kun olet yhteydessä verkkosivustoon, joka käyttää laajennettua varmennevarmennetta, Firefox kertoo, että sitä ylläpitää tietty organisaatio. Tämän valintaikkunan mukaan VeriSign on varmistanut, että olemme yhteydessä todelliseen PayPal-verkkosivustoon, jota ylläpitää PayPal, Inc.
Kun olet yhteydessä sivustoon, joka käyttää EV-varmentetta Chromessa, organisaation nimi näkyy osoiterivillä. Tietoikkuna kertoo meille, että VeriSign on vahvistanut PayPalin henkilöllisyyden käyttämällä laajennettua varmennevarmennetta.
SSL-varmenteiden ongelma
Vuosia sitten varmenneviranomaiset varmistivat verkkosivuston henkilöllisyyden ennen varmenteen myöntämistä. Sertifikaattiviranomainen tarkistaa, että varmentetta pyytävä yritys on rekisteröity, soittaa puhelinnumeroon ja varmistaa, että yritys on laillista toimintaa, joka vastaa verkkosivustoa.
Lopulta varmentajat alkoivat tarjota vain verkkotunnuksen varmenteita. Nämä olivat halvempia, koska varmenneviranomaisen oli vähemmän työtä tarkistaa nopeasti, että pyynnön tekijällä oli tietty verkkotunnus (verkkosivusto).
Phishers alkoi lopulta hyödyntää tätä. Tietojenkalastelija voi rekisteröidä verkkotunnuksen paypall.com ja ostaa vain verkkotunnusta koskevan varmenteen. Kun käyttäjä on yhteydessä paypall.com-sivustoon, käyttäjän selain näyttää tavallisen lukituskuvakkeen, joka tarjoaa väärän turvallisuuden tunteen. Selaimet eivät osoittaneet eroa vain verkkotunnuksen varmenteen ja varmenteen välillä, joka sisälsi verkkosivuston henkilöllisyyden laajemman tarkistamisen.
Julkinen luottamus varmenteiden myöntäjiin verkkosivustojen tarkistamiseksi on vähentynyt - tämä on vain yksi esimerkki varmenneviranomaisista, jotka eivät ole suorittaneet huolellisuutta. Vuonna 2011 Electronic Frontier Foundation totesi, että varmentajat olivat myöntäneet yli 2000 varmentetta “localhost” -nimelle - nimelle, joka viittaa aina nykyiseen tietokoneeseesi. ( Lähde ) Väärissä käsissä tällainen varmenne voisi helpottaa ihmisen välissä -hyökkäyksiä.
Kuinka laajennetut varmennevarmennukset ovat erilaisia
EV-varmenne osoittaa, että varmentaja on varmistanut, että verkkosivustoa ylläpitää tietty organisaatio. Esimerkiksi, jos tietojenkalastelija yritti saada EV-varmenteen paypall.com-sivustolle, pyyntö hylätään.
Toisin kuin tavalliset SSL-varmenteet, vain itsenäisen tarkastuksen läpäisevät varmentajat voivat antaa EV-varmenteita. Sertifiointiviranomainen / selainfoorumi (CA / Browser Forum), sertifiointiviranomaisten ja Mozilla, Google, Apple ja Microsoftin kaltaisten selaintoimittajien vapaaehtoinen organisaatio tiukat ohjeet Kaikkien laajennettuja varmenteita myöntävien varmentajien on noudatettava. Tämä estää parhaiten varmenteiden myöntäjiä osallistumasta toiseen "kilpailuun pohjaan", jossa he käyttävät löyhiä todentamistapoja tarjotakseen halvempia varmenteita.
Lyhyesti sanottuna ohjeissa vaaditaan, että sertifikaattiviranomaiset varmistavat, että sertifikaattia pyytävä organisaatio on virallisesti rekisteröity, että se omistaa kyseisen verkkotunnuksen ja että varmenteen pyytävä henkilö toimii organisaation puolesta. Tähän sisältyy viranomaisten asiakirjojen tarkastaminen, yhteydenotto verkkotunnuksen omistajaan ja organisaatioon varmistamiseksi, että varmenteen pyytävä henkilö toimii organisaatiossa.
Sitä vastoin vain verkkotunnuksen varmenteen vahvistus saattaa edellyttää vilkaisua vain verkkotunnuksen Whois-tietueisiin sen varmistamiseksi, että rekisteröijä käyttää samoja tietoja. Varmenteiden myöntäminen verkkotunnuksille, kuten "localhost", tarkoittaa, että jotkut varmentajista eivät edes tee niin paljon varmennusta. EV-sertifikaatit ovat pohjimmiltaan yritys palauttaa julkinen luottamus sertifikaattiviranomaisiin ja palauttaa heidän roolinsa portinvartijana huijareita vastaan.
