Вы когда-нибудь замечали, что ваш браузер иногда отображает название организации веб-сайта на зашифрованном веб-сайте? Это признак того, что у веб-сайта есть сертификат расширенной проверки, указывающий, что идентичность веб-сайта была подтверждена.
Сертификаты EV не обеспечивают дополнительной надежности шифрования - вместо этого сертификат EV указывает на то, что была проведена тщательная проверка личности веб-сайта. Стандартные SSL-сертификаты практически не позволяют подтвердить личность веб-сайта.
Как браузеры отображают сертификаты расширенной проверки
На зашифрованном веб-сайте, который не использует сертификат расширенной проверки, Firefox сообщает, что веб-сайт «управляется (неизвестно)».
Chrome не отображает ничего по-другому и сообщает, что подлинность веб-сайта была подтверждена центром сертификации, выдавшим сертификат.
Когда вы подключаетесь к веб-сайту, который использует сертификат расширенной проверки, Firefox сообщает вам, что он управляется определенной организацией. В соответствии с этим диалоговым окном VeriSign подтвердил, что мы подключены к реальному веб-сайту PayPal, которым управляет PayPal, Inc.
Когда вы подключены к сайту, который использует сертификат EV в Chrome, название организации отображается в вашей адресной строке. Информационное диалоговое окно сообщает нам, что личность PayPal была подтверждена VeriSign с использованием расширенного сертификата проверки.
Проблема с сертификатами SSL
Много лет назад центры сертификации проверяли личность веб-сайта перед выдачей сертификата. Центр сертификации проверит, зарегистрирован ли бизнес, запрашивающий сертификат, позвонит по номеру телефона и убедится, что бизнес был законной операцией, соответствующей веб-сайту.
Со временем центры сертификации начали предлагать сертификаты «только для домена». Это было дешевле, поскольку для центра сертификации было меньше работы по быстрой проверке того, что запрашивающий владелец определенного домена (веб-сайта).
В конце концов этим начали пользоваться фишеры. Фишер может зарегистрировать домен paypall.com и приобрести сертификат только для домена. Когда пользователь подключается к paypall.com, в браузере пользователя отображается стандартный значок замка, что создает ложное ощущение безопасности. Браузеры не отображали разницу между сертификатом только для домена и сертификатом, предполагающим более тщательную проверку личности веб-сайта.
Общественное доверие к центрам сертификации для проверки веб-сайтов упало - это лишь один из примеров того, как центры сертификации не проявляют должной осмотрительности. В 2011 году Electronic Frontier Foundation обнаружила, что центры сертификации выдали более 2000 сертификатов для «localhost» - имени, которое всегда относится к вашему текущему компьютеру. ( Источник Попадание такого сертификата в чужие руки может облегчить атаки типа "злоумышленник посередине".
Чем отличаются сертификаты расширенной проверки
Сертификат EV указывает, что центр сертификации подтвердил, что веб-сайт управляется определенной организацией. Например, если фишер попытался получить сертификат EV для paypall.com, запрос будет отклонен.
В отличие от стандартных SSL-сертификатов, только центры сертификации, прошедшие независимую проверку, могут выдавать сертификаты EV. Центр сертификации / Форум браузеров (CA / Форум браузеров), добровольная организация центров сертификации и поставщиков браузеров, таких как Mozilla, Google, Apple и Microsoft. строгие правила этому должны следовать все центры сертификации, выдающие сертификаты расширенной проверки. Это в идеале предотвращает участие центров сертификации в новой «гонке на дно», когда они используют слабые методы проверки, чтобы предлагать более дешевые сертификаты.
Короче говоря, руководящие принципы требуют, чтобы центры сертификации проверяли, что организация, запрашивающая сертификат, официально зарегистрирована, что она владеет доменом, о котором идет речь, и что лицо, запрашивающее сертификат, действует от имени организации. Это включает в себя проверку государственных документов, обращение к владельцу домена и обращение в организацию, чтобы убедиться, что лицо, запрашивающее сертификат, работает на организацию.
Напротив, проверка сертификата только для домена может включать только просмотр записей whois домена, чтобы убедиться, что регистрант использует ту же информацию. Выдача сертификатов для доменов, таких как localhost, подразумевает, что некоторые центры сертификации даже не проводят такую тщательную проверку. Сертификаты EV, по сути, представляют собой попытку восстановить общественное доверие к центрам сертификации и восстановить их роль в качестве привратников против самозванцев.
