Hai mai notato che il tuo browser a volte mostra il nome dell'organizzazione di un sito web su un sito web crittografato? Questo è un segno che il sito web dispone di un certificato di convalida esteso, che indica che l'identità del sito web è stata verificata.
I certificati EV non forniscono alcun livello di crittografia aggiuntivo, ma un certificato EV indica che è stata eseguita una verifica approfondita dell'identità del sito web. I certificati SSL standard forniscono una verifica minima dell'identità di un sito web.
Come i browser visualizzano i certificati di convalida estesa
Su un sito web crittografato che non utilizza un certificato di convalida esteso, Firefox dice che il sito web è "gestito da (sconosciuto)".
Chrome non mostra nulla di diverso e dice che l'identità del sito web è stata verificata dall'autorità di certificazione che ha emesso il certificato del sito web.
Quando sei connesso a un sito web che utilizza un certificato di convalida esteso, Firefox ti dice che è gestito da un'organizzazione specifica. In base a questa finestra di dialogo, VeriSign ha verificato che siamo collegati al sito Web PayPal reale, gestito da PayPal, Inc.
Quando sei connesso a un sito che utilizza un certificato EV in Chrome, il nome dell'organizzazione viene visualizzato nella barra degli indirizzi. La finestra di dialogo delle informazioni ci dice che l'identità di PayPal è stata verificata da VeriSign utilizzando un certificato di convalida esteso.
Il problema con i certificati SSL
Anni fa, le autorità di certificazione erano solite verificare l'identità di un sito web prima di emettere un certificato. L'autorità di certificazione controllava che l'azienda che richiede il certificato fosse registrata, chiamava il numero di telefono e verificava che l'attività fosse un'operazione legittima che corrispondeva al sito web.
Alla fine, le autorità di certificazione hanno iniziato a offrire certificati "solo dominio". Questi erano più economici, poiché l'autorità di certificazione richiedeva meno lavoro per verificare rapidamente che il richiedente possedesse un dominio specifico (sito Web).
I phisher alla fine hanno iniziato a trarne vantaggio. Un phisher potrebbe registrare il dominio paypall.com e acquistare un certificato di solo dominio. Quando un utente si connette a paypall.com, il browser dell'utente visualizza l'icona del lucchetto standard, fornendo un falso senso di sicurezza. I browser non mostravano la differenza tra un certificato di solo dominio e un certificato che implicava una verifica più approfondita dell'identità del sito web.
La fiducia del pubblico nelle autorità di certificazione per verificare i siti Web è diminuita: questo è solo un esempio di autorità di certificazione che non riescono a svolgere la loro due diligence. Nel 2011, l'Electronic Frontier Foundation ha scoperto che le autorità di certificazione avevano emesso oltre 2000 certificati per "localhost", un nome che si riferisce sempre al tuo computer attuale. ( fonte ) Nelle mani sbagliate, un simile certificato potrebbe rendere più facili gli attacchi man-in-the-middle.
In che modo i certificati di convalida estesa sono diversi
Un certificato EV indica che un'autorità di certificazione ha verificato che il sito Web è gestito da un'organizzazione specifica. Ad esempio, se un phisher cercasse di ottenere un certificato EV per paypall.com, la richiesta verrebbe rifiutata.
A differenza dei certificati SSL standard, solo le autorità di certificazione che superano un audit indipendente possono emettere certificati EV. The Certification Authority / Browser Forum (CA / Browser Forum), un'organizzazione volontaria di autorità di certificazione e fornitori di browser come Mozilla, Google, Apple e Microsoft. linee guida rigorose che tutte le autorità di certificazione che emettono certificati di convalida estesa devono seguire. Ciò impedisce idealmente alle autorità di certificazione di impegnarsi in un'altra "corsa al ribasso", in cui utilizzano pratiche di verifica lassiste per offrire certificati più economici.
In breve, le linee guida richiedono che le autorità di certificazione verifichino che l'organizzazione che richiede il certificato sia ufficialmente registrata, che possieda il dominio in questione e che la persona che richiede il certificato agisca per conto dell'organizzazione. Ciò comporta il controllo dei registri governativi, il contatto del proprietario del dominio e il contatto dell'organizzazione per verificare che la persona che richiede il certificato lavori per l'organizzazione.
Al contrario, una verifica del certificato del solo dominio potrebbe comportare solo uno sguardo ai record whois del dominio per verificare che il registrante stia utilizzando le stesse informazioni. L'emissione di certificati per domini come "localhost" implica che alcune autorità di certificazione non effettuano nemmeno molte verifiche. I certificati EV sono, fondamentalmente, un tentativo di ripristinare la fiducia del pubblico nelle autorità di certificazione e ripristinare il loro ruolo di gatekeeper contro gli impostori.
