Észrevetted már, hogy böngésződ néha egy webhely szervezetnevét jeleníti meg egy titkosított webhelyen? Ez annak a jele, hogy a webhely kiterjesztett érvényesítési tanúsítvánnyal rendelkezik, jelezve, hogy a webhely identitását igazolták.
Az EV tanúsítványok nem nyújtanak további titkosítási erőt - ehelyett az EV tanúsítvány azt jelzi, hogy a webhely identitásának átfogó ellenőrzése megtörtént. A szabványos SSL tanúsítványok nagyon kevés igazolást nyújtanak a webhely identitására.
Hogyan jelenítik meg a böngészők a kiterjesztett érvényesítési tanúsítványokat
Egy olyan titkosított webhelyen, amely nem használ kibővített érvényesítési tanúsítványt, a Firefox azt mondja, hogy a webhelyet „(ismeretlen) üzemelteti”.
A Chrome nem jelenít meg semmit másként, és azt mondja, hogy a webhely identitását a webhely tanúsítványát kiadó tanúsító hatóság ellenőrizte.
Amikor olyan webhelyhez csatlakozik, amely kiterjesztett ellenőrzési tanúsítványt használ, a Firefox elmondja, hogy egy adott szervezet üzemelteti. E párbeszédpanel szerint a VeriSign ellenőrizte, hogy kapcsolódtunk-e a valódi PayPal webhelyhez, amelyet a PayPal, Inc. üzemeltet.
Ha olyan webhelyhez csatlakozik, amely EV-tanúsítványt használ a Chrome-ban, a szervezet neve megjelenik a címsávban. Az információs párbeszédpanel arról tájékoztat minket, hogy a PayPal személyazonosságát a VeriSign kiterjesztett érvényesítési tanúsítvánnyal ellenőrizte.
Az SSL-tanúsítványokkal kapcsolatos probléma
Évekkel ezelőtt a tanúsító hatóságok a tanúsítvány kiadása előtt a webhely identitását ellenőrizték. A tanúsító hatóság ellenőrzi, hogy a tanúsítványt kérő vállalkozás be van-e jegyezve, felhívja a telefonszámot, és ellenőrzi, hogy a vállalkozás törvényes művelet-e, amely megfelel a webhelynek.
Végül a tanúsító hatóságok „csak tartományi” tanúsítványokat kezdtek kínálni. Ezek olcsóbbak voltak, mivel a tanúsító hatóságnak kevesebb munkája volt annak gyors ellenőrzése, hogy az igénylő rendelkezik-e egy adott domainnel (webhely).
Az adathalászok végül ezt kezdték kihasználni. Az adathalász regisztrálhatta a paypall.com domaint, és csak tartományi tanúsítványt vásárolhat. Amikor egy felhasználó csatlakozik a paypall.com webhelyhez, a felhasználó böngészője megjeleníti a szokásos zár ikont, ami hamis biztonságérzetet nyújt. A böngészők nem mutatták ki a különbséget a csak tartományi tanúsítvány és a webhely identitásának átfogóbb ellenőrzését magában foglaló tanúsítvány között.
Csökkent a közbizalom a tanúsító hatóságok iránt a webhelyek ellenőrzésében - ez csak egy példa arra, hogy a tanúsító hatóságok nem tették meg kellő gondosságukat. 2011-ben az Electronic Frontier Foundation megállapította, hogy a tanúsító hatóságok több mint 2000 tanúsítványt állítottak ki a „localhost” számára - ez a név mindig az Ön jelenlegi számítógépére utal. ( Forrás ) Rossz kezekben egy ilyen tanúsítvány megkönnyítheti a középső ember támadásait.
Miben különböznek a kiterjesztett hitelesítési tanúsítványok
Az EV tanúsítvány azt jelzi, hogy a tanúsító hatóság ellenőrizte, hogy a webhelyet egy adott szervezet üzemelteti. Például, ha egy adathalász megpróbálta megszerezni az EV tanúsítványt a paypall.com webhelyen, a kérelmet elutasították.
A standard SSL tanúsítványokkal ellentétben csak független auditon átesett tanúsító hatóságok adhatnak ki EV tanúsítványokat. A tanúsító hatóság / böngésző fórum (CA / Browser Forum), a tanúsító hatóságok és a böngésző-gyártók, például a Mozilla, a Google, az Apple és a Microsoft önkéntes szervezete szigorú irányelvek hogy minden kiterjesztett érvényesítési tanúsítványt kiadó tanúsító hatóságnak be kell tartania. Ez ideális esetben megakadályozza a tanúsító hatóságokat abban, hogy újabb „alsós versenyeken” vegyenek részt, ahol laza ellenőrzési gyakorlatokkal olcsóbb tanúsítványokat kínálnak.
Röviden, az irányelvek előírják, hogy a tanúsító hatóságok ellenőrizzék, hogy a tanúsítványt kérő szervezet hivatalosan be van-e jegyezve, hogy a kérdéses domain tulajdonosa-e, és hogy a tanúsítványt kérő személy a szervezet nevében jár-e el. Ez magában foglalja a kormányzati nyilvántartások ellenőrzését, a domain tulajdonosával való kapcsolatfelvételt és a szervezettel való kapcsolatfelvételt annak ellenőrzésére, hogy a tanúsítványt kérő személy működik-e a szervezetnél.
Ezzel szemben a csak tartományi tanúsítvány ellenőrzése csak a domain Whois nyilvántartásába történő bepillantást jelenthet annak ellenőrzésére, hogy a regisztráló ugyanazokat az információkat használja-e. Tanúsítványok kiadása olyan domainekhez, mint a „localhost”, azt jelenti, hogy egyes tanúsító hatóságok még nem is végeznek ekkora ellenőrzést. Az EV tanúsítványok alapvetően arra irányulnak, hogy helyreállítsák a közbizalmat a tanúsító hatóságok iránt, és visszaállítsák kapuőr szerepüket az imposterekkel szemben.
