כיצד דפדפנים מאמתים את זהות האתרים ומגנים מפני מתחזים

תוכן ללא הכנסה

האם שמת לב אי פעם שהדפדפן שלך מציג לפעמים את שם הארגון של האתר באתר מוצפן? זהו סימן לכך שלאתר יש אישור אימות מורחב, המציין שזהות האתר אומתה.

אישורי EV אינם מספקים חוזק הצפנה נוסף - במקום זאת, אישור EV מציין כי התרחשה אימות נרחב של זהות האתר. אישורי SSL סטנדרטיים מספקים מעט מאוד אימות של זהות אתר.

כיצד דפדפנים מציגים אישורי אימות מורחבים

באתר מוצפן שאינו משתמש בתעודת אימות מורחבת, Firefox אומר כי האתר "מנוהל על ידי (לא ידוע)."

Chrome אינו מציג שום דבר אחרת ואומר שזהות האתר אומתה על ידי רשות האישורים שהנפיקה את אישור האתר.

כשאתה מחובר לאתר המשתמש באישור אימות מורחב, Firefox אומר לך שהוא מנוהל על ידי ארגון ספציפי. על פי דיאלוג זה, VeriSign אימתה שאנו מחוברים לאתר PayPal האמיתי, המנוהל על ידי PayPal, Inc.

כשאתה מחובר לאתר המשתמש באישור EV בכרום, שם הארגון מופיע בשורת הכתובת שלך. תיבת הדו-שיח למידע מודיעה לנו שזהות PayPal אומתה על ידי VeriSign באמצעות אישור אימות מורחב.

הבעיה באישורי SSL

לפני שנים נהגו רשויות האישורים לאמת את זהות האתר לפני הוצאת האישור. רשות האישורים תבדוק שהעסק שמבקש את האישור נרשמה, מתקשרת למספר הטלפון ומוודאת שהעסק היה פעולה לגיטימית שתואמת את האתר.

בסופו של דבר, רשויות האישורים החלו להציע אישורי "תחום בלבד". אלה היו זולים יותר, מכיוון שרשות האישורים פחות בדקה לבדוק שהמבקש הוא בעל תחום ספציפי (אתר).

בסופו של דבר התחילו פישינגים לנצל זאת. פישינג יכול לרשום את הדומיין paypall.com ולרכוש תעודת תחום בלבד. כאשר משתמש מחובר ל- paypall.com, הדפדפן של המשתמש יציג את סמל הנעילה הסטנדרטי, מה שמספק תחושת ביטחון כוזבת. הדפדפנים לא הציגו את ההבדל בין אישור תחום בלבד לבין אישור שכלל אימות נרחב יותר של זהות האתר.

אמון הציבור ברשויות האישורים לאימות אתרים ירד - זו רק דוגמה אחת לכך שרשויות האישור לא מצליחות לבצע את בדיקת הנאותות שלהן. בשנת 2011, קרן Electronic Frontier מצאה כי רשויות האישורים הנפיקו מעל 2000 אישורים עבור "localhost" - שם המתייחס תמיד למחשב הנוכחי שלך. ( מָקוֹר בידיים הלא נכונות, תעודה כזו עשויה להקל על ההתקפות של איש באמצע.

כיצד אישורי אימות מורחבים שונים

אישור EV מציין כי רשות אישורים אימתה כי האתר מנוהל על ידי ארגון ספציפי. לדוגמה, אם פישינג ניסה להשיג אישור EV עבור paypall.com, הבקשה תידחה.

בניגוד לאישורי SSL רגילים, רק רשויות אישורים שעוברות ביקורת עצמאית מורשות להנפיק תעודות EV. רשות ההסמכה / פורום הדפדפנים (CA / Browser Forum), ארגון וולונטרי של רשויות הסמכה וספקי דפדפנים כמו סוגיות מוזילה, גוגל, אפל ומיקרוסופט. הנחיות קפדניות שעל כל רשויות האישורים המנפיקות אישורי אימות מורחבים לעקוב. זה באופן אידיאלי מונע מרשויות האישור לעסוק ב"מרוץ לתחתית "נוסף, שבו הם משתמשים בשיטות אימות רופפות כדי להציע תעודות זולות יותר.

בקיצור, ההנחיות דורשות שרשויות האישורים יוודאו שהארגון המבקש את האישור רשום רשמית, שהוא הבעלים של הדומיין המדובר, וכי מבקש האישור פועל מטעם הארגון. זה כרוך בבדיקת רשומות ממשלתיות, יצירת קשר עם בעל הדומיין ופנייה לארגון כדי לוודא שהמבקש את האישור עובד עבור הארגון.

לעומת זאת, אימות אישור לתחום בלבד עשוי לכלול רק מבט על הרשומות של הדומיין כדי לאמת שהרושם משתמש באותו מידע. הנפקת אישורים עבור דומיינים כמו "localhost" מרמזת כי רשויות אישורים מסוימות אפילו לא עושות כל כך הרבה אימות. תעודות EV הם, ביסודם, ניסיון להחזיר את אמון הציבור ברשויות האישורים ולהחזיר את תפקידם כשומרי הסף כנגד מתחזים.