Czy zauważyłeś, że Twoja przeglądarka czasami wyświetla nazwę organizacji witryny na zaszyfrowanej witrynie? Jest to znak, że witryna ma rozszerzony certyfikat walidacji, co oznacza, że tożsamość witryny została zweryfikowana.
Certyfikaty EV nie zapewniają żadnej dodatkowej siły szyfrowania - zamiast tego certyfikat EV wskazuje, że miała miejsce szeroko zakrojona weryfikacja tożsamości witryny. Standardowe certyfikaty SSL zapewniają bardzo niewielką weryfikację tożsamości witryny.
Jak przeglądarki wyświetlają certyfikaty rozszerzonej walidacji
W zaszyfrowanej witrynie internetowej, która nie używa certyfikatu rozszerzonej walidacji, Firefox informuje, że witryna jest „prowadzona przez (nieznane)”.
Chrome nie wyświetla niczego inaczej i twierdzi, że tożsamość witryny została zweryfikowana przez urząd certyfikacji, który wydał certyfikat witryny.
Gdy łączysz się z witryną internetową, która korzysta z certyfikatu rozszerzonej weryfikacji, Firefox informuje, że jest prowadzona przez określoną organizację. Zgodnie z tym dialogiem firma VeriSign potwierdziła, że jesteśmy połączeni z prawdziwą witryną PayPal, prowadzoną przez firmę PayPal, Inc.
Gdy łączysz się z witryną, która korzysta z certyfikatu EV w Chrome, nazwa organizacji pojawia się na pasku adresu. Okno informacyjne informuje nas, że tożsamość PayPal została zweryfikowana przez firmę VeriSign przy użyciu certyfikatu rozszerzonej walidacji.
Problem z certyfikatami SSL
Wiele lat temu urzędy certyfikacji weryfikowały tożsamość witryny przed wydaniem certyfikatu. Urząd certyfikacji sprawdzi, czy firma żądająca certyfikatu jest zarejestrowana, zadzwoni pod numer telefonu i zweryfikuje, czy firma była legalną operacją pasującą do witryny.
W końcu urzędy certyfikacji zaczęły oferować certyfikaty „tylko do domeny”. Były tańsze, ponieważ urząd certyfikacji miał mniej pracy, aby szybko sprawdzić, czy żądający jest właścicielem określonej domeny (witryny internetowej).
W końcu phisherzy zaczęli to wykorzystywać. Phisher może zarejestrować domenę paypall.com i kupić certyfikat tylko dla domeny. Gdy użytkownik łączył się z paypall.com, przeglądarka użytkownika wyświetlała standardową ikonę kłódki, zapewniając fałszywe poczucie bezpieczeństwa. Przeglądarki nie wyświetlały różnicy między certyfikatem tylko dla domeny a certyfikatem wymagającym szerszej weryfikacji tożsamości witryny.
Spadło zaufanie publiczne do urzędów certyfikacji w zakresie weryfikacji witryn - to tylko jeden z przykładów, w których organy certyfikacji nie dochowały należytej staranności. W 2011 roku organizacja Electronic Frontier Foundation stwierdziła, że urzędy certyfikacji wydały ponad 2000 certyfikatów dla „localhost” - nazwy, która zawsze odnosi się do bieżącego komputera. ( Źródło ). W niepowołanych rękach taki certyfikat mógłby ułatwić ataki typu man-in-the-middle.
Czym różnią się certyfikaty rozszerzonej walidacji
Certyfikat EV wskazuje, że urząd certyfikacji zweryfikował, że witryna jest prowadzona przez określoną organizację. Na przykład, jeśli phisher próbował uzyskać certyfikat EV dla paypall.com, żądanie zostało odrzucone.
W przeciwieństwie do standardowych certyfikatów SSL, tylko urzędy certyfikacji, które przejdą niezależny audyt, mogą wydawać certyfikaty EV. Certification Authority / Browser Forum (CA / Browser Forum), dobrowolna organizacja urzędów certyfikacji i dostawców przeglądarek, takich jak Mozilla, Google, Apple i Microsoft. ścisłe wytyczne muszą przestrzegać wszystkie urzędy wydające certyfikaty o rozszerzonej walidacji. To idealnie zapobiega zaangażowaniu się urzędów certyfikacji w kolejny „wyścig na dno”, w którym stosują luźne praktyki weryfikacji, aby oferować tańsze certyfikaty.
Krótko mówiąc, wytyczne wymagają, aby organy certyfikujące weryfikowały, czy organizacja wnioskująca o certyfikat jest oficjalnie zarejestrowana, czy jest właścicielem danej domeny, a osoba ubiegająca się o certyfikat działa w imieniu organizacji. Obejmuje to sprawdzenie dokumentów rządowych, skontaktowanie się z właścicielem domeny i skontaktowanie się z organizacją w celu sprawdzenia, czy osoba żądająca certyfikatu pracuje dla organizacji.
Z kolei weryfikacja certyfikatu tylko dla domeny może polegać jedynie na przejrzeniu rekordów usługi Whois domeny, aby sprawdzić, czy rejestrujący używa tych samych informacji. Wydawanie certyfikatów dla domen takich jak „localhost” oznacza, że niektóre urzędy certyfikacji nawet nie przeprowadzają takiej weryfikacji. Certyfikaty EV są zasadniczo próbą przywrócenia zaufania publicznego do urzędów certyfikacji i przywrócenia ich roli strażników przed oszustami.
