Ви коли-небудь помічали, що ваш браузер іноді відображає назву організації веб-сайту на зашифрованому веб-сайті? Це знак того, що веб-сайт має розширений сертифікат підтвердження, що вказує на те, що особа веб-сайту підтверджена.
Сертифікати EV не надають жодної додаткової міцності шифрування - натомість сертифікат EV вказує на те, що відбулася детальна перевірка ідентичності веб-сайту. Стандартні сертифікати SSL забезпечують дуже мало підтвердження ідентичності веб-сайту.
Як браузери відображають розширені сертифікати перевірки
На зашифрованому веб-сайті, який не використовує розширений сертифікат перевірки, Firefox каже, що веб-сайт «управляється (невідомо)».
Chrome не відображає нічого інакше і каже, що особу веб-сайту підтвердив орган сертифікації, який видав сертифікат веб-сайту.
Коли ви підключаєтесь до веб-сайту, який використовує розширений сертифікат перевірки, Firefox повідомляє вам, що ним керує певна організація. Відповідно до цього діалогового вікна VeriSign підтвердив, що ми підключені до реального веб-сайту PayPal, яким керує PayPal, Inc.
Коли ви пов’язані з веб-сайтом, який використовує сертифікат EV в Chrome, назва організації з’являється у вашому адресному рядку. Інформаційне діалогове вікно повідомляє нам, що особа PayPal була підтверджена VeriSign за допомогою розширеного сертифіката перевірки.
Проблема із сертифікатами SSL
Багато років тому сертифікаційні органи перевіряли особу веб-сайту перед тим, як видавати сертифікат. Центр сертифікації перевірить, чи зареєстрована компанія, що вимагає сертифікат, зателефонує за номером телефону та переконається, що компанія є законною операцією, яка відповідає веб-сайту.
Зрештою, органи сертифікації почали пропонувати сертифікати лише для домену. Це було дешевше, оскільки для центру сертифікації було менше праці швидко перевірити, чи відповідає запитувач певному домену (веб-сайту).
Зрештою фішери почали цим користуватися. Фішер може зареєструвати домен paypall.com та придбати сертифікат лише для домену. Коли користувач підключається до paypall.com, браузер користувача відображає стандартний значок блокування, забезпечуючи помилкове відчуття безпеки. Веб-переглядачі не відображали різницю між сертифікатом лише для домену та сертифікатом, який передбачав більш широку перевірку ідентичності веб-сайту.
Довіра громадськості до сертифікаційних органів до перевірки веб-сайтів впала - це лише один із прикладів того, що сертифікаційні органи не роблять належної перевірки. У 2011 році Фонд електронних прикордонних служб виявив, що органи сертифікації видали понад 2000 сертифікатів для “localhost” - імені, яке завжди відноситься до вашого поточного комп’ютера. ( Джерело ) У чужих руках такий сертифікат може полегшити атаки людини посеред.
Чим відрізняються розширені сертифікати перевірки
Сертифікат EV вказує на те, що орган сертифікації підтвердив, що веб-сайт працює у певній організації. Наприклад, якщо фішер намагається отримати сертифікат EV для paypall.com, запит буде відхилено.
На відміну від стандартних сертифікатів SSL, лише центри сертифікації, які проходять незалежний аудит, можуть видавати сертифікати EV. Центр сертифікації / Форум браузерів (CA / Browser Forum), добровільна організація органів сертифікації та постачальників браузерів, таких як Mozilla, Google, Apple та Microsoft суворі вказівки що всі органи сертифікації, які видають розширені сертифікати перевірки, повинні слідувати. Це в ідеалі заважає органам, що сертифікують, брати участь в черговій «гонці до дна», де вони використовують слабкі практики перевірки, щоб пропонувати дешевші сертифікати.
Коротше кажучи, вказівки вимагають, щоб органи сертифікації перевіряли організацію, яка вимагає сертифікат, офіційно зареєстровану, що вона є власником відповідного домену та що особа, яка вимагає сертифікат, діє від імені організації. Це передбачає перевірку державних записів, зв’язок з власником домену та зв’язок з організацією, щоб переконатися, що особа, яка вимагає сертифікат, працює для організації.
На відміну від цього, перевірка сертифіката лише для домену може включати лише перегляд записів Whois домену, щоб переконатися, що реєстрант використовує ту саму інформацію. Видача сертифікатів для таких доменів, як „localhost”, означає, що деякі органи сертифікації навіть не проводять такої великої перевірки. Сертифікати EV - це, по суті, спроба відновити довіру громадськості до органів сертифікації та відновити їхню роль воротарів проти самозванців.
