Ați observat vreodată că browserul dvs. afișează uneori numele organizației unui site web pe un site web criptat? Acesta este un semn că site-ul are un certificat de validare extins, care indică faptul că identitatea site-ului a fost verificată.
Certificatele EV nu furnizează nicio putere suplimentară de criptare - în schimb, un certificat EV indică faptul că a avut loc o verificare amplă a identității site-ului web. Certificatele SSL standard oferă o verificare foarte mică a identității unui site web.
Cum afișează browserele certificate de validare extinse
Pe un site web criptat care nu folosește un certificat de validare extins, Firefox spune că site-ul web este „administrat de (necunoscut)”.
Chrome nu afișează nimic diferit și spune că identitatea site-ului web a fost verificată de autoritatea de certificare care a emis certificatul site-ului web.
Când sunteți conectat la un site web care utilizează un certificat de validare extins, Firefox vă spune că este administrat de o anumită organizație. Conform acestui dialog, VeriSign a verificat că suntem conectați la site-ul real PayPal, care este administrat de PayPal, Inc.
Când sunteți conectat la un site care utilizează un certificat EV în Chrome, numele organizației apare în bara de adrese. Fereastra de informații ne arată că identitatea PayPal a fost verificată de VeriSign utilizând un certificat de validare extins.
Problema cu certificatele SSL
Cu ani în urmă, autoritățile de certificare obișnuiau să verifice identitatea unui site web înainte de a emite un certificat. Autoritatea certificatoare ar verifica dacă compania care solicită certificatul a fost înregistrată, va suna la numărul de telefon și va verifica dacă afacerea a fost o operațiune legitimă care se potrivește cu site-ul web.
În cele din urmă, autoritățile de certificare au început să ofere certificate „numai domeniu”. Acestea au fost mai ieftine, deoarece autoritatea certificatoare a verificat rapid dacă solicitantul deținea un anumit domeniu (site-ul web).
Phishers au început să profite de acest lucru. Un phisher ar putea să înregistreze domeniul paypall.com și să cumpere un certificat numai pentru domeniu. Când un utilizator conectat la paypall.com, browserul utilizatorului ar afișa pictograma de blocare standard, oferind un fals sentiment de securitate. Browserele nu au afișat diferența dintre un certificat exclusiv de domeniu și un certificat care presupunea o verificare mai amplă a identității site-ului web.
Încrederea publicului în autoritățile de certificare pentru a verifica site-urile web a scăzut - acesta este doar un exemplu al autorităților de certificare care nu și-au făcut diligența. În 2011, Electronic Frontier Foundation a constatat că autoritățile de certificare au emis peste 2000 de certificate pentru „localhost” - un nume care se referă întotdeauna la computerul dvs. curent. ( Sursă ) În mâinile greșite, un astfel de certificat ar putea ușura atacurile omului în mijloc.
Modul în care certificatele de validare extinse sunt diferite
Un certificat EV indică faptul că o autoritate de certificare a verificat dacă site-ul web este administrat de o anumită organizație. De exemplu, dacă un phisher a încercat să obțină un certificat EV pentru paypall.com, cererea va fi respinsă.
Spre deosebire de certificatele SSL standard, numai autoritățile de certificare care trec un audit independent sunt autorizate să emită certificate EV. Autoritatea de certificare / Browser Forum (CA / Browser Forum), o organizație voluntară a autorităților de certificare și a furnizorilor de browsere, cum ar fi problemele Mozilla, Google, Apple și Microsoft strict guidelines pe care trebuie să le respecte toate autoritățile de certificare care emit certificate de validare extinse. Acest lucru împiedică în mod ideal autoritățile de certificare să se angajeze într-o altă „cursă până la fund”, în care utilizează practici de verificare laxă pentru a oferi certificate mai ieftine.
Pe scurt, liniile directoare cer ca autoritățile de certificare să verifice dacă organizația care solicită certificatul este înregistrată oficial, că deține domeniul în cauză și că persoana care solicită certificatul acționează în numele organizației. Aceasta implică verificarea înregistrărilor guvernamentale, contactarea proprietarului domeniului și contactarea organizației pentru a verifica dacă persoana care solicită certificatul funcționează pentru organizație.
În schimb, o verificare a certificatului numai pentru domeniu ar putea implica doar o privire asupra înregistrărilor whois ale domeniului pentru a verifica dacă solicitantul înregistrării folosește aceleași informații. Emiterea de certificate pentru domenii precum „localhost” implică faptul că unele autorități de certificare nici măcar nu fac atât de multe verificări. Certificatele EV sunt, în esență, o încercare de a restabili încrederea publicului în autoritățile de certificare și de a restabili rolul lor de gardieni împotriva impostorilor.
