Tarayıcınızın bazen şifrelenmiş bir web sitesinde bir web sitesinin kuruluş adını gösterdiğini fark ettiniz mi? Bu, web sitesinin, web sitesinin kimliğinin doğrulandığını gösteren genişletilmiş bir doğrulama sertifikasına sahip olduğunun bir işaretidir.
EV sertifikaları herhangi bir ek şifreleme gücü sağlamaz - bunun yerine, bir EV sertifikası web sitesinin kimliğinin kapsamlı bir şekilde doğrulandığını gösterir. Standart SSL sertifikaları, bir web sitesinin kimliği için çok az doğrulama sağlar.
Tarayıcılar Genişletilmiş Doğrulama Sertifikalarını Nasıl Görüntülüyor?
Firefox, genişletilmiş bir doğrulama sertifikası kullanmayan şifreli bir web sitesinde, web sitesinin "(bilinmeyen) tarafından çalıştırıldığını" söylüyor.
Chrome hiçbir şeyi farklı göstermiyor ve web sitesinin kimliğinin, web sitesi sertifikasını veren sertifika yetkilisi tarafından doğrulandığını söylüyor.
Genişletilmiş bir doğrulama sertifikası kullanan bir web sitesine bağlandığınızda, Firefox size bunun belirli bir kuruluş tarafından çalıştırıldığını söyler. Bu iletişim kutusuna göre VeriSign, PayPal, Inc. tarafından işletilen gerçek PayPal web sitesine bağlı olduğumuzu doğruladı.
Chrome'da bir EV sertifikası kullanan bir siteye bağlandığınızda, kuruluşun adı adres çubuğunuzda görünür. Bilgi iletişim kutusu, PayPal'ın kimliğinin genişletilmiş bir doğrulama sertifikası kullanılarak VeriSign tarafından doğrulandığını söyler.
SSL Sertifikalarında Sorun
Yıllar önce, sertifika yetkilileri bir sertifika vermeden önce bir web sitesinin kimliğini doğrulamak için kullanılırdı. Sertifika yetkilisi, sertifikayı talep eden işletmenin kayıtlı olup olmadığını kontrol eder, telefon numarasını arar ve işletmenin web sitesiyle eşleşen yasal bir işlem olduğunu doğrular.
Sonunda, sertifika yetkilileri "yalnızca alan adı" sertifikaları sunmaya başladı. Sertifika yetkilisinin talepte bulunan kişinin belirli bir alana (web sitesi) sahip olup olmadığını hızlı bir şekilde kontrol etmesi daha az iş gerektirdiğinden, bunlar daha ucuzdu.
Kimlik avcıları sonunda bundan yararlanmaya başladı. Bir kimlik avcısı, paypall.com etki alanını kaydedebilir ve yalnızca etki alanına yönelik bir sertifika satın alabilir. Paypall.com'a bir kullanıcı bağlandığında, kullanıcının tarayıcısı standart kilit simgesini görüntüleyerek yanlış bir güvenlik hissi veriyordu. Tarayıcılar, yalnızca alan adı sertifikası ile web sitesinin kimliğinin daha kapsamlı bir şekilde doğrulanmasını içeren bir sertifika arasındaki farkı göstermedi.
Web sitelerini doğrulamak için sertifika yetkililerine duyulan güven azaldı - bu, sertifika yetkililerinin durum tespiti yapmadıklarına yalnızca bir örnektir. 2011 yılında Electronic Frontier Foundation, sertifika yetkililerinin "localhost" için 2000'den fazla sertifika verdiğini keşfetti - her zaman mevcut bilgisayarınıza atıfta bulunan bir ad. ( Kaynak Yanlış ellerde böyle bir sertifika ortadaki adam saldırılarını kolaylaştırabilir.
Genişletilmiş Doğrulama Sertifikaları Ne Kadar Farklıdır?
EV sertifikası, bir sertifika yetkilisinin web sitesinin belirli bir kuruluş tarafından işletildiğini doğruladığını gösterir. Örneğin, bir kimlik avcısı paypall.com için bir EV sertifikası almaya çalışırsa, istek reddedilir.
Standart SSL sertifikalarının aksine, yalnızca bağımsız bir denetimden geçen sertifika yetkililerinin EV sertifikaları vermesine izin verilir. Sertifika Yetkilisi / Tarayıcı Forumu (CA / Tarayıcı Forumu), Mozilla, Google, Apple ve Microsoft sorunları gibi sertifika yetkilileri ve tarayıcı satıcılarından oluşan gönüllü bir organizasyon katı kurallar genişletilmiş doğrulama sertifikaları veren tüm sertifika yetkililerinin uyması gerekir. Bu, ideal olarak, sertifika yetkililerinin daha ucuz sertifikalar sunmak için gevşek doğrulama uygulamalarını kullandıkları başka bir "dibe doğru yarışa" girmelerini önler.
Kısaca yönergeler, sertifika yetkililerinin sertifikayı talep eden kuruluşun resmi olarak kayıtlı olduğunu, söz konusu alanın sahibi olduğunu ve sertifikayı talep eden kişinin kuruluş adına hareket ettiğini doğrulamasını talep eder. Bu, resmi kayıtların kontrol edilmesini, alan sahibiyle iletişim kurmayı ve sertifika isteyen kişinin kuruluşta çalıştığını doğrulamak için kuruluşla iletişim kurmayı içerir.
Bunun tersine, yalnızca alan adı sertifika doğrulaması, alan adının whois kayıtlarına, alan adı sahibinin aynı bilgileri kullandığını doğrulamak için yalnızca bir bakış içerebilir. "Localhost" gibi alanlar için sertifikaların verilmesi, bazı sertifika yetkililerinin bu kadar doğrulama bile yapmadığı anlamına gelir. EV sertifikaları, temelde, sertifika yetkililerine olan halkın güvenini yeniden tesis etme ve sahtekarlara karşı kapı bekçileri olarak rollerini geri yükleme girişimidir.
