Jak prohlížeče ověřují totožnost webových stránek a chrání proti neoprávněným osobám
Všimli jste si někdy, že váš prohlížeč někdy zobrazuje název organizace na šifrované webové stránce? Toto je znamení, že web má rozšířený certifikát o ověření, který označuje, že totožnost webu byla ověřena.
EV certifikáty neposkytují žádnou další šifrovací sílu - namísto toho certifikát EV indikuje, že došlo k rozsáhlému ověření identity webu. Standardní certifikáty SSL poskytují velmi málo ověření identity webu.
Jak prohlížeče zobrazují certifikáty rozšířené validace
Na šifrované webové stránce, která nepoužívá rozšířený ověřovací certifikát, Firefox říká, že web je "spuštěn (neznámé)."
Chrome nezobrazuje nic jiného a říká, že totožnost webu ověřila certifikační autorita, která vydala certifikát webu.
Když jste připojeni k webu, který používá rozšířený certifikát ověření, Firefox vám řekne, že je spuštěn konkrétní organizací. Podle tohoto dialogu společnost VeriSign ověřila, že jsme připojeni k reálnému webu PayPal, který provozuje společnost PayPal, Inc.
Po připojení k webu, který v prohlížeči Chrome používá certifikát EV, se v panelu s adresou zobrazí název organizace. Informační dialog nám říká, že identita PayPal byla ověřena VeriSign pomocí rozšířeného ověřovacího certifikátu.
Problém s certifikáty SSL
Před léty ověřovací orgány ověřovaly totožnost webové stránky před vydáním certifikátu. Certifikační autorita by zkontrolovala, zda byla společnost, která žádá o certifikát, zaregistrována, zavolala na telefonní číslo a ověřila, že podnik je legitimní operace, která odpovídá webové stránce.
Nakonec certifikační autority začaly nabízet certifikáty "pouze pro doménu". Byly to levnější, protože certifikační autorita měla méně práce, aby rychle zkontrolovala, zda žadatel vlastní určitou doménu (web).
Phishers nakonec začali využívat toho. Phisher může zaregistrovat doménu paypall.com a zakoupit certifikát pouze pro doménu. Když je uživatel připojen k paypall.com, prohlížeč uživatele zobrazí standardní ikonu zámku a poskytuje falešný pocit bezpečí. Prohlížeče nezobrazily rozdíl mezi certifikátem pouze doménou a certifikátem, který zahrnoval rozsáhlejší ověření identity webu.
Veřejná důvěra v certifikační autority k ověření webových stránek klesla - je to jen jeden příklad certifikačních úřadů, kteří neprovedli svou due diligence. V roce 2011 zjistila agentura Electronic Frontier Foundation, že certifikační autority vydaly více než 2000 certifikátů pro "localhost" - jméno, které vždy odkazuje na váš současný počítač. (Zdroj) Ve špatných rukou by takové osvědčení mohlo usnadnit útoky typu man-in-the-middle.
Jak jsou rozšířené ověřovací certifikáty odlišné
Certifikát EV uvádí, že certifikační autorita ověřila, že webové stránky provozuje určitá organizace. Například, pokud se phisher pokusil získat certifikát EV pro paypall.com, bude žádost odmítnuta.
Na rozdíl od standardních certifikátů SSL mohou vydávat certifikáty EV pouze certifikační autority, které projdou nezávislým auditem. Certifikační úřad / fórum prohlížeče (CA / prohlížečové fórum), dobrovolná organizace certifikačních autorit a prodejců prohlížečů, jako jsou Mozilla, Google, Apple a Microsoft vydávají přísná pravidla, která musí splňovat všechny certifikační autority vydávající rozšířené ověřovací certifikáty. To v ideálním případě brání certifikačním úřadům, aby se zapojili do další "závodu na dno", kde používají laxní postupy ověřování, které nabízejí levnější certifikáty.
Stručně řečeno, pokyny vyžadují, aby certifikační úřady ověřily, že organizace, která žádá o certifikát, je oficiálně zaregistrována, že vlastní danou doménu a že osoba, která žádá o certifikát, jedná jménem organizace. To zahrnuje kontrolu vládních záznamů, kontaktování vlastníka domény a kontaktování organizace s cílem ověřit, zda osoba, která požaduje certifikát, pracuje pro organizaci.
Naproti tomu ověření certifikátu pouze doménou může obsahovat pouze pohled na záznamy v doméně, které ověřují, zda žadatel o registraci používá stejné informace. Vydávání certifikátů pro domény, jako je "localhost", znamená, že některé certifikační autority dokonce nevedou o tolik ověření. EV certifikáty jsou v zásadě pokusem o obnovení důvěry veřejnosti v certifikační autority a obnovení jejich role jako hlídačů proti podvodníkům.