Pernahkah Anda memperhatikan bahwa browser Anda terkadang menampilkan nama organisasi situs web di situs web terenkripsi? Ini adalah tanda bahwa situs web tersebut memiliki sertifikat validasi tambahan, yang menunjukkan bahwa identitas situs web tersebut telah diverifikasi.
Sertifikat EV tidak memberikan kekuatan enkripsi tambahan - sebaliknya, sertifikat EV menunjukkan bahwa verifikasi ekstensif atas identitas situs web telah dilakukan. Sertifikat SSL standar memberikan sedikit sekali verifikasi identitas situs web.
Bagaimana Browser Menampilkan Sertifikat Validasi yang Diperpanjang
Di situs web terenkripsi yang tidak menggunakan sertifikat validasi tambahan, Firefox menyatakan bahwa situs web tersebut “dijalankan oleh (tidak diketahui)”.
Chrome tidak menampilkan sesuatu yang berbeda dan mengatakan bahwa identitas situs web telah diverifikasi oleh otoritas sertifikat yang menerbitkan sertifikat situs web tersebut.
Saat Anda terhubung ke situs web yang menggunakan sertifikat validasi tambahan, Firefox memberi tahu Anda bahwa itu dijalankan oleh organisasi tertentu. Berdasarkan dialog ini, VeriSign telah memverifikasi bahwa kami terhubung ke situs web PayPal yang sebenarnya, yang dijalankan oleh PayPal, Inc.
Saat Anda terhubung ke situs yang menggunakan sertifikat EV di Chrome, nama organisasi muncul di bilah alamat Anda. Dialog informasi memberi tahu kami bahwa identitas PayPal telah diverifikasi oleh VeriSign menggunakan sertifikat validasi yang diperpanjang.
Masalah dengan Sertifikat SSL
Bertahun-tahun yang lalu, otoritas sertifikat digunakan untuk memverifikasi identitas situs web sebelum menerbitkan sertifikat. Otoritas sertifikat akan memeriksa bahwa bisnis yang meminta sertifikat telah terdaftar, menghubungi nomor telepon, dan memverifikasi bahwa bisnis tersebut adalah operasi yang sah dan cocok dengan situs web.
Akhirnya, otoritas sertifikat mulai menawarkan sertifikat "khusus domain". Ini lebih murah, karena lebih sedikit pekerjaan bagi otoritas sertifikat untuk segera memeriksa bahwa pemohon memiliki domain (situs web) tertentu.
Phisher akhirnya mulai memanfaatkan ini. Seorang phisher dapat mendaftarkan domain paypall.com dan membeli sertifikat khusus domain. Saat pengguna terhubung ke paypall.com, browser pengguna akan menampilkan ikon kunci standar, memberikan rasa aman yang palsu. Browser tidak menampilkan perbedaan antara sertifikat khusus domain dan sertifikat yang melibatkan verifikasi identitas situs web yang lebih ekstensif.
Kepercayaan publik pada otoritas sertifikat untuk memverifikasi situs web telah jatuh - ini hanyalah salah satu contoh otoritas sertifikat yang gagal melakukan uji tuntas mereka. Pada tahun 2011, Electronic Frontier Foundation menemukan bahwa otoritas sertifikat telah menerbitkan lebih dari 2000 sertifikat untuk "localhost" - nama yang selalu merujuk ke komputer Anda saat ini. ( Sumber ) Di tangan yang salah, sertifikat semacam itu dapat membuat serangan man-in-the-middle lebih mudah.
Apa Perbedaan Sertifikat Validasi yang Diperpanjang
Sertifikat EV menunjukkan bahwa otoritas sertifikat telah memverifikasi bahwa situs web dijalankan oleh organisasi tertentu. Misalnya, jika phisher mencoba mendapatkan sertifikat EV untuk paypall.com, permintaan tersebut akan ditolak.
Tidak seperti sertifikat SSL standar, hanya otoritas sertifikat yang lulus audit independen yang diizinkan menerbitkan sertifikat EV. Otoritas Sertifikasi / Forum Browser (CA / Forum Browser), organisasi sukarela dari otoritas sertifikasi dan vendor browser seperti masalah Mozilla, Google, Apple, dan Microsoft pedoman ketat yang harus diikuti oleh semua otoritas sertifikat yang menerbitkan sertifikat validasi tambahan. Idealnya, ini mencegah otoritas sertifikat untuk terlibat dalam “perlombaan ke bawah,” di mana mereka menggunakan praktik verifikasi yang longgar untuk menawarkan sertifikat yang lebih murah.
Singkatnya, pedoman menuntut otoritas sertifikat memverifikasi organisasi yang meminta sertifikat terdaftar secara resmi, bahwa ia memiliki domain yang dipermasalahkan, dan bahwa orang yang meminta sertifikat bertindak atas nama organisasi. Ini melibatkan pemeriksaan catatan pemerintah, menghubungi pemilik domain, dan menghubungi organisasi untuk memverifikasi bahwa orang yang meminta sertifikat bekerja untuk organisasi.
Sebaliknya, verifikasi sertifikat khusus domain mungkin hanya melibatkan sekilas data whois domain untuk memverifikasi bahwa pendaftar menggunakan informasi yang sama. Penerbitan sertifikat untuk domain seperti "localhost" menyiratkan bahwa beberapa otoritas sertifikat bahkan tidak melakukan verifikasi sebanyak itu. Sertifikat EV pada dasarnya merupakan upaya untuk memulihkan kepercayaan publik pada otoritas sertifikat dan mengembalikan peran mereka sebagai penjaga gerbang dari penipu.
