Ako prehliadače overujú identitu webových stránok a chránia proti neprimeraným osobám
Všimli ste si niekedy, že váš prehliadač niekedy zobrazuje názov organizácie webových stránok na šifrovanej webovej stránke? Toto je znamenie, že webová lokalita má rozšírený certifikát o potvrdení, čo naznačuje, že totožnosť webovej stránky bola overená.
EV certifikáty neposkytujú žiadnu ďalšiu silu šifrovania - namiesto toho EV certifikát označuje, že sa uskutočnilo rozsiahle overenie totožnosti webových stránok. Štandardné SSL certifikáty poskytujú veľmi málo overenia totožnosti webových stránok.
Ako prehliadače zobrazujú rozšírené overovacie certifikáty
Na šifrovanej webovej lokalite, ktorá nepoužíva rozšírený certifikát na overenie, spoločnosť Firefox hovorí, že web je "spustený (neznámym)."
Chrome nezobrazuje nič iné a hovorí, že totožnosť webovej stránky overila certifikačná autorita, ktorá vydala certifikát webovej lokality.
Keď ste pripojení k webovej lokalite, ktorá používa rozšírený certifikát o overení, Firefox vám povie, že je spustený konkrétnou organizáciou. Podľa tohto dialógu spoločnosť VeriSign overila, že sme pripojení k skutočnej webovej stránke PayPal, ktorú spravuje spoločnosť PayPal, Inc.
Keď sa pripojíte na stránku, ktorá používa certifikát EV v prehliadači Chrome, názov organizácie sa zobrazí v paneli s adresou. Informačný dialóg hovorí, že identita služby PayPal bola overená spoločnosťou VeriSign použitím rozšíreného certifikátu o potvrdení.
Problém s certifikátmi SSL
Pred uplynutím niekoľkých rokov certifikačné autority overili totožnosť webových stránok pred vydaním certifikátu. Certifikačná autorita by skontrolovala, či spoločnosť, ktorá žiada o certifikát, bola zaregistrovaná, zavolala na telefónne číslo a overila, či je podnik legitímnou operáciou, ktorá zodpovedala webovej stránke.
Nakoniec certifikačné autority začali ponúkať certifikáty typu "iba doména". Tieto boli lacnejšie, pretože pre certifikačnú autoritu bolo menej práce, aby rýchlo skontrolovali, či žiadateľ vlastní špecifickú doménu (webovú stránku).
Phishers nakoniec začali využívať toto. Phisher by mohol zaregistrovať doménu paypall.com a zakúpiť certifikát len pre doménu. Keď používateľ pripojený na paypall.com, prehliadač používateľa zobrazí štandardnú ikonu zámku a poskytne falošný pocit bezpečia. Prehliadače nezobrazili rozdiel medzi certifikátom iba doménou a certifikátom, ktorý zahŕňal rozsiahlejšie overenie totožnosti webových stránok.
Verejná dôvera v certifikačné autority na overenie webových stránok klesla - je to len jeden príklad, keď certifikačné autority neuskutočnili svoju povinnú starostlivosť. V roku 2011 spoločnosť Electronic Frontier Foundation zistila, že certifikačné autority vydali viac ako 2000 certifikátov pre "localhost" - meno, ktoré vždy odkazuje na váš súčasný počítač. (Zdroj) V nesprávnych rukách by takéto osvedčenie mohlo uľahčiť útoky typu man-in-the-middle.
Ako sú rozšírené overovacie certifikáty iné
V EV certifikáte sa uvádza, že certifikačná autorita overila, že webové stránky prevádzkuje konkrétna organizácia. Napríklad, ak sa phisher pokúsil získať EV certifikát pre paypall.com, žiadosť bude odmietnutá.
Na rozdiel od štandardných certifikátov SSL môžu vydávať certifikáty EV len certifikačné autority, ktoré prejdú nezávislým auditom. Certifikačná autorita / Fórum prehliadača (CA / Fórum prehliadača), dobrovoľná organizácia certifikačných autorít a dodávatelia prehliadačov, ako sú Mozilla, Google, Apple a Microsoft vydajú prísne smernice, ktoré musia dodržiavať všetky certifikačné autority vydávajúce rozšírené certifikáty validácie. To v ideálnom prípade zabraňuje tomu, aby certifikačné autority začali konať iným "pretekom dole", kde používajú laxné overovacie postupy na ponúkanie lacnejších certifikátov.
Stručne povedané, v usmerneniach sa požaduje, aby certifikačné orgány overili, že organizácia žiadajúca o certifikát je úradne zaregistrovaná, že vlastní danú doménu a že osoba, ktorá žiada o certifikát, koná v mene organizácie. Zahŕňa kontrolu vládnych záznamov, kontaktovanie vlastníka domény a kontaktovanie organizácie s cieľom overiť, či osoba, ktorá požaduje certifikát, pracuje pre organizáciu.
Naproti tomu verifikácia certifikátu len na doméne môže zahŕňať len pohľad na záznamy o tom, kto overí, či registrujúci používa tie isté informácie. Vydávanie certifikátov pre domény, ako je "localhost", znamená, že niektoré certifikačné autority ani nekonajú toľko overenia. EV certifikáty sú v princípe pokusom o obnovenie dôvery verejnosti v certifikačné autority a obnovenie ich úlohy brány proti impersonátorom.