Bạn có bao giờ nhận thấy rằng trình duyệt của bạn đôi khi hiển thị tên tổ chức của trang web trên một trang web được mã hóa không? Đây là dấu hiệu cho thấy trang web có chứng chỉ xác thực mở rộng, cho biết danh tính của trang web đã được xác minh.
Chứng chỉ EV không cung cấp thêm bất kỳ độ mạnh mã hóa nào - thay vào đó, chứng chỉ EV cho biết rằng quá trình xác minh toàn diện về danh tính của trang web đã diễn ra. Chứng chỉ SSL tiêu chuẩn cung cấp rất ít xác minh danh tính của trang web.
Cách trình duyệt hiển thị chứng chỉ xác thực mở rộng
Trên một trang web được mã hóa không sử dụng chứng chỉ xác thực mở rộng, Firefox nói rằng trang web đó “được điều hành bởi (không xác định)”.
Chrome không hiển thị bất kỳ điều gì khác biệt và cho biết rằng danh tính của trang web đã được xác minh bởi tổ chức phát hành chứng chỉ của trang web.
Khi bạn được kết nối với một trang web sử dụng chứng chỉ xác thực mở rộng, Firefox sẽ cho bạn biết trang web đó được điều hành bởi một tổ chức cụ thể. Theo hộp thoại này, VeriSign đã xác minh rằng chúng tôi được kết nối với trang web PayPal thực do PayPal, Inc. điều hành.
Khi bạn được kết nối với một trang web sử dụng chứng chỉ EV trong Chrome, tên của tổ chức sẽ xuất hiện trên thanh địa chỉ của bạn. Hộp thoại thông tin cho chúng tôi biết rằng danh tính của PayPal đã được VeriSign xác minh bằng chứng chỉ xác thực mở rộng.
Vấn đề với chứng chỉ SSL
Cách đây nhiều năm, tổ chức phát hành chứng chỉ đã từng xác minh danh tính của trang web trước khi cấp chứng chỉ. Cơ quan cấp chứng chỉ sẽ kiểm tra xem doanh nghiệp yêu cầu chứng chỉ đã được đăng ký hay chưa, gọi đến số điện thoại và xác minh rằng doanh nghiệp đó là hoạt động hợp pháp phù hợp với trang web.
Cuối cùng, tổ chức phát hành chứng chỉ bắt đầu cung cấp chứng chỉ "chỉ dành cho miền". Những thứ này rẻ hơn, vì cơ quan cấp chứng chỉ sẽ nhanh chóng kiểm tra xem người yêu cầu có sở hữu một miền (trang web) cụ thể hay không.
Những kẻ lừa đảo cuối cùng đã bắt đầu lợi dụng điều này. Kẻ lừa đảo có thể đăng ký tên miền paypall.com và mua chứng chỉ chỉ dành cho tên miền. Khi người dùng kết nối với paypall.com, trình duyệt của người dùng sẽ hiển thị biểu tượng khóa tiêu chuẩn, mang lại cảm giác an toàn giả. Các trình duyệt không hiển thị sự khác biệt giữa chứng chỉ chỉ miền và chứng chỉ liên quan đến việc xác minh rộng rãi hơn danh tính của trang web.
Sự tin tưởng của công chúng vào các cơ quan cấp chứng chỉ để xác minh các trang web đã giảm - đây chỉ là một ví dụ về việc các cơ quan cấp chứng chỉ không thực hiện thẩm định của họ. Vào năm 2011, Electronic Frontier Foundation nhận thấy rằng tổ chức cấp chứng chỉ đã cấp hơn 2000 chứng chỉ cho “localhost” - một cái tên luôn dùng để chỉ máy tính hiện tại của bạn. ( Nguồn ) Vào tay kẻ xấu, một chứng chỉ như vậy có thể làm cho các cuộc tấn công man-in-the-middle trở nên dễ dàng hơn.
Chứng chỉ xác thực mở rộng khác nhau như thế nào
Chứng chỉ EV cho biết rằng tổ chức phát hành chứng chỉ đã xác minh rằng trang web được điều hành bởi một tổ chức cụ thể. Ví dụ: nếu kẻ lừa đảo cố gắng lấy chứng chỉ EV cho paypall.com, yêu cầu sẽ bị từ chối.
Không giống như chứng chỉ SSL tiêu chuẩn, chỉ tổ chức phát hành chứng chỉ vượt qua cuộc kiểm tra độc lập mới được phép cấp chứng chỉ EV. Cơ quan cấp giấy chứng nhận / Diễn đàn trình duyệt (CA / Browser Forum), một tổ chức tự nguyện gồm các cơ quan cấp giấy chứng nhận và các nhà cung cấp trình duyệt như Mozilla, Google, Apple và Microsoft. hướng dẫn nghiêm ngặt rằng tất cả các cơ quan cấp chứng chỉ cấp chứng chỉ xác thực mở rộng phải tuân theo. Điều này lý tưởng nhất là ngăn các cơ quan cấp chứng chỉ tham gia vào một “cuộc đua tới đáy” khác, nơi họ sử dụng các phương pháp xác minh lỏng lẻo để cung cấp chứng chỉ rẻ hơn.
Tóm lại, hướng dẫn yêu cầu tổ chức cấp chứng chỉ xác minh rằng tổ chức yêu cầu chứng chỉ đã được đăng ký chính thức, tổ chức đó sở hữu miền được đề cập và người yêu cầu chứng chỉ đang đại diện cho tổ chức. Điều này bao gồm việc kiểm tra hồ sơ của chính phủ, liên hệ với chủ sở hữu miền và liên hệ với tổ chức để xác minh rằng người yêu cầu chứng chỉ làm việc cho tổ chức.
Ngược lại, xác minh chứng chỉ dành riêng cho miền có thể chỉ bao gồm việc xem qua bản ghi whois của miền để xác minh rằng người đăng ký đang sử dụng cùng một thông tin. Việc cấp chứng chỉ cho các miền như "localhost" ngụ ý rằng một số tổ chức cấp chứng chỉ thậm chí không thực hiện nhiều xác minh như vậy. Về cơ bản, chứng chỉ EV là một nỗ lực để khôi phục lòng tin của công chúng đối với cơ quan cấp chứng chỉ và khôi phục vai trò của họ như những người gác cổng chống lại những kẻ mạo danh.
