Miten selaimet vahvistavat verkkosivuston identiteetit ja suojaavat vastaanottajia
Oletko koskaan huomannut, että selaimesi näyttää joskus verkkosivuston organisaation nimen salatulla sivustolla? Tämä on merkki siitä, että sivustolla on laajennettu validointitodistus, joka osoittaa, että sivuston identiteetti on vahvistettu.
EV-varmenteet eivät tarjoa mitään lisäsalauslujuutta - sen sijaan EV-todistus osoittaa, että verkkosivuston henkilöllisyyden laaja tarkastus on tapahtunut. SSL-vakiosertifikaatit todentavat hyvin vähän verkkosivuston identiteettiä.
Miten selaimet näyttävät laajennetut validointitodistukset
Firefox sanoo salatun verkkosivuston, joka ei käytä laajennettua validointitodistusta, että sivusto on "tuntematon".
Chrome ei näytä mitään eri tavalla ja sanoo, että verkkosivuston varmenteen myöntäneen varmenteen viranomainen vahvisti verkkosivuston henkilöllisyyden.
Kun olet yhteydessä verkkosivustoon, joka käyttää laajennettua validointitodistusta, Firefox kertoo, että sitä käyttää tietyn organisaation. Tämän valintaikkunan mukaan VeriSign on varmistanut, että olemme yhteydessä todelliseen PayPal-sivustoon, jota ylläpitää PayPal, Inc..
Kun olet yhteydessä sivustoon, joka käyttää EV-sertifikaattia Chromeissa, organisaation nimi näkyy osoiterivillä. Tiedot-valintaikkuna kertoo, että VeriSign on todennut PayPalin identiteetin laajennetulla validointitodistuksella.
Ongelma SSL-varmenteilla
Vuosia sitten todistusviranomaiset vahvistivat verkkosivuston henkilöllisyyden ennen todistuksen antamista. Varmenteiden viranomainen tarkistaa, että varmenteita pyytävä yritys on rekisteröity, soita puhelinnumeroon ja varmista, että yritys oli laillista toimintaa, joka vastasi verkkosivustoa.
Lopulta sertifikaattiviranomaiset alkoivat tarjota vain verkkotunnuksia. Nämä olivat halvempia, koska sertifiointiviranomaiselle oli vähemmän työtä, kun se tarkasti, että pyynnön esittäjä omisti tietyn verkkotunnuksen (verkkosivuston).
Tietojenkalastajat alkoivat lopulta hyödyntää tätä. Phisher voi rekisteröidä verkkotunnuksen paypall.com ja ostaa vain domain-sertifikaatin. Kun käyttäjä on yhteydessä paypall.comiin, käyttäjän selain näyttää normaalin lukon kuvakkeen, joka tarjoaa vääriä tietoturvaa. Selaimet eivät osoittaneet eroa vain verkkotunnuksen varmenteen ja todistuksen välillä, joka sisälsi laajemman verkkosivuston henkilöllisyyden tarkistamisen.
Julkinen luottamus sertifiointiviranomaisiin verkkosivujen tarkistamisessa on laskenut - tämä on vain yksi esimerkki todistuksen myöntävistä viranomaisista, jotka eivät ole suorittaneet asianmukaista huolellisuutta. Vuonna 2011 Electronic Frontier Foundation totesi, että sertifikaattiviranomaiset olivat antaneet yli 2000 sertifikaattia "localhost" - nimelle, joka viittaa aina nykyiseen tietokoneeseen. (Lähde) Väärissä käsissä tällainen varmenne voisi helpottaa ihmisen keskellä olevia hyökkäyksiä.
Miten laajennetut validointitodistukset ovat erilaisia
EV-todistus osoittaa, että varmentaja on varmistanut, että verkkosivustoa hallinnoi tietty organisaatio. Jos esimerkiksi phisher yritti saada EV-sertifikaatin paypall.com-sivustolle, pyyntö hylätään.
Toisin kuin standardit SSL-sertifikaatit, vain riippumattoman tarkastuksen läpäisseet varmentajat voivat antaa EV-varmenteita. Sertifiointiviranomainen / selainfoorumi (CA / selainfoorumi), sertifiointiviranomaisten ja selaintuottajien vapaaehtoinen organisaatio, kuten Mozilla, Google, Apple ja Microsoft, antaa tiukat ohjeet, joiden mukaan kaikkien laajennettujen validointitodistusten myöntävien varmentajien on noudatettava niitä. Tämä estää ihanteellisesti, että sertifikaattiviranomaiset voivat harjoittaa toista "kilpailua alhaalla", jossa he käyttävät laksoja todentamismenetelmiä halvempien varmenteiden tarjoamiseen.
Lyhyesti sanottuna suuntaviivoissa vaaditaan, että varmentajaviranomaiset tarkistavat, että sertifikaatin pyytävä organisaatio on virallisesti rekisteröity, että se omistaa kyseisen verkkotunnuksen ja että todistuksen pyytävä henkilö toimii organisaation puolesta. Tämä edellyttää valtion kirjaa koskevien tietojen tarkistamista, verkkotunnuksen omistajan ottamista yhteyttä ja organisaation yhteydenottoa, jotta varmennetaan, että varmenteita pyytävä henkilö toimii organisaatiossa.
Sitä vastoin vain verkkotunnuksen varmenteiden tarkistaminen voi sisältää vain silmäyksen verkkotunnuksen kullekin tietueelle varmistaakseen, että rekisteröijä käyttää samaa tietoa. Sertifikaattien myöntäminen sellaisille verkkotunnuksille kuin "localhost" tarkoittaa, että jotkut sertifikaattiviranomaiset eivät edes tee niin paljon varmennusta. EV-todistukset ovat pohjimmiltaan yrityksiä palauttaa yleisön luottamus sertifiointiviranomaisiin ja palauttaa heidän roolinsa portinvartijoina hyökkääjiä vastaan.