คุณเคยสังเกตไหมว่าบางครั้งเบราว์เซอร์ของคุณจะแสดงชื่อองค์กรของเว็บไซต์บนเว็บไซต์ที่เข้ารหัส นี่เป็นสัญญาณว่าเว็บไซต์มีใบรับรองการตรวจสอบความถูกต้องเพิ่มเติมซึ่งบ่งชี้ว่าข้อมูลประจำตัวของเว็บไซต์ได้รับการยืนยันแล้ว
ใบรับรอง EV ไม่ได้ให้ความแข็งแกร่งในการเข้ารหัสเพิ่มเติม แต่ใบรับรอง EV บ่งชี้ว่ามีการยืนยันตัวตนของเว็บไซต์อย่างครอบคลุม ใบรับรอง SSL มาตรฐานให้การยืนยันตัวตนของเว็บไซต์น้อยมาก
เบราว์เซอร์แสดงใบรับรองการตรวจสอบความถูกต้องเพิ่มเติมอย่างไร
ในเว็บไซต์ที่เข้ารหัสซึ่งไม่ใช้ใบรับรองการตรวจสอบความถูกต้องเพิ่มเติม Firefox กล่าวว่าเว็บไซต์นั้น "ดำเนินการโดย (ไม่ทราบ)"
Chrome ไม่แสดงอะไรที่แตกต่างออกไปและระบุว่าข้อมูลประจำตัวของเว็บไซต์ได้รับการยืนยันโดยผู้ออกใบรับรองที่ออกใบรับรองของเว็บไซต์
เมื่อคุณเชื่อมต่อกับเว็บไซต์ที่ใช้ใบรับรองการตรวจสอบความถูกต้องเพิ่มเติม Firefox จะแจ้งให้คุณทราบว่าดำเนินการโดยองค์กรใดองค์กรหนึ่ง ตามกล่องโต้ตอบนี้ VeriSign ได้ตรวจสอบแล้วว่าเราเชื่อมต่อกับเว็บไซต์ PayPal จริงซึ่งดำเนินการโดย PayPal, Inc.
เมื่อคุณเชื่อมต่อกับไซต์ที่ใช้ใบรับรอง EV ใน Chrome ชื่อองค์กรจะปรากฏในแถบที่อยู่ของคุณ กล่องโต้ตอบข้อมูลบอกเราว่า VeriSign ยืนยันตัวตนของ PayPal โดยใช้ใบรับรองการตรวจสอบความถูกต้องเพิ่มเติม
ปัญหาเกี่ยวกับใบรับรอง SSL
หลายปีก่อนผู้ออกใบรับรองใช้เพื่อยืนยันตัวตนของเว็บไซต์ก่อนที่จะออกใบรับรอง ผู้ออกใบรับรองจะตรวจสอบว่าธุรกิจที่ขอใบรับรองนั้นจดทะเบียนแล้วโทรไปที่หมายเลขโทรศัพท์และตรวจสอบว่าธุรกิจนั้นมีการดำเนินการที่ถูกต้องตรงกับเว็บไซต์
ในที่สุดหน่วยงานผู้ออกใบรับรองก็เริ่มให้บริการใบรับรอง“ โดเมนเท่านั้น” สิ่งเหล่านี้มีราคาถูกกว่าเนื่องจากผู้ออกใบรับรองสามารถตรวจสอบได้อย่างรวดเร็วว่าผู้ขอเป็นเจ้าของโดเมนเฉพาะ (เว็บไซต์)
ในที่สุด Phishers ก็เริ่มใช้ประโยชน์จากสิ่งนี้ ฟิชเชอร์สามารถจดทะเบียนโดเมน paypall.com และซื้อใบรับรองโดเมนเท่านั้น เมื่อผู้ใช้เชื่อมต่อกับ paypall.com เบราว์เซอร์ของผู้ใช้จะแสดงไอคอนล็อกมาตรฐานซึ่งให้ความรู้สึกปลอดภัยที่ผิดพลาด เบราว์เซอร์ไม่ได้แสดงความแตกต่างระหว่างใบรับรองเฉพาะโดเมนและใบรับรองที่เกี่ยวข้องกับการยืนยันตัวตนของเว็บไซต์ที่ครอบคลุมมากขึ้น
ความไว้วางใจของสาธารณชนต่อผู้ออกใบรับรองในการตรวจสอบเว็บไซต์ได้ลดลง - นี่เป็นเพียงตัวอย่างหนึ่งของผู้ออกใบรับรองที่ไม่สามารถตรวจสอบสถานะ ในปี 2554 Electronic Frontier Foundation พบว่าหน่วยงานด้านใบรับรองได้ออกใบรับรองมากกว่า 2,000 ใบสำหรับ "localhost" ซึ่งเป็นชื่อที่อ้างถึงคอมพิวเตอร์เครื่องปัจจุบันของคุณเสมอ ( ที่มา ในมือที่ไม่ถูกต้องใบรับรองดังกล่าวอาจทำให้การโจมตีระหว่างคนตรงกลางง่ายขึ้น
ใบรับรองการตรวจสอบเพิ่มเติมแตกต่างกันอย่างไร
ใบรับรอง EV ระบุว่าผู้ออกใบรับรองได้ตรวจสอบว่าเว็บไซต์นี้ดำเนินการโดยองค์กรใดองค์กรหนึ่ง ตัวอย่างเช่นหากฟิชเชอร์พยายามขอใบรับรอง EV สำหรับ paypall.com คำขอจะถูกปฏิเสธ
ไม่เหมือนกับใบรับรอง SSL มาตรฐานเฉพาะผู้ออกใบรับรองที่ผ่านการตรวจสอบอิสระเท่านั้นที่ได้รับอนุญาตให้ออกใบรับรอง EV ฟอรัมผู้ออกใบรับรอง / เบราว์เซอร์ (CA / เบราว์เซอร์ฟอรัม) ซึ่งเป็นองค์กรที่สมัครใจของหน่วยงานออกใบรับรองและผู้จำหน่ายเบราว์เซอร์เช่นปัญหา Mozilla, Google, Apple และ Microsoft แนวทางที่เข้มงวด ผู้ออกใบรับรองทั้งหมดที่ออกใบรับรองการตรวจสอบความถูกต้องเพิ่มเติมต้องปฏิบัติตาม วิธีนี้เป็นการป้องกันไม่ให้ผู้ออกใบรับรองเข้ามามีส่วนร่วมใน "การแข่งขันที่ต่ำที่สุด" อื่นซึ่งพวกเขาใช้วิธีการตรวจสอบที่หละหลวมเพื่อเสนอใบรับรองที่ถูกกว่า
ในระยะสั้นแนวทางเรียกร้องให้ผู้ออกใบรับรองตรวจสอบว่าองค์กรที่ร้องขอใบรับรองนั้นได้รับการจดทะเบียนอย่างเป็นทางการว่าเป็นเจ้าของโดเมนที่เป็นปัญหาและผู้ที่ร้องขอใบรับรองจะดำเนินการในนามขององค์กร ซึ่งรวมถึงการตรวจสอบบันทึกของรัฐบาลติดต่อเจ้าของโดเมนและติดต่อองค์กรเพื่อยืนยันว่าบุคคลที่ขอใบรับรองทำงานให้กับองค์กร
ในทางตรงกันข้ามการยืนยันใบรับรองโดเมนเท่านั้นอาจเกี่ยวข้องกับการดูบันทึก whois ของโดเมนเพื่อตรวจสอบว่าผู้จดทะเบียนใช้ข้อมูลเดียวกัน การออกใบรับรองสำหรับโดเมนเช่น "localhost" หมายความว่าผู้ออกใบรับรองบางรายไม่ได้ทำการยืนยันมากขนาดนั้น โดยพื้นฐานแล้วใบรับรอง EV เป็นความพยายามที่จะฟื้นฟูความไว้วางใจของสาธารณชนในหน่วยงานออกใบรับรองและฟื้นฟูบทบาทของพวกเขาในฐานะผู้เฝ้าประตูจากผู้แอบอ้าง
