Как браузеры проверяют личность сайта и защищают от мошенников

Вы когда-нибудь замечали, что ваш браузер иногда отображает название организации сайта на зашифрованном сайте? Это признак того, что веб-сайт имеет расширенный сертификат проверки, указывающий, что личность веб-сайта была проверена.

Сертификаты EV не предоставляют никакой дополнительной силы шифрования – вместо этого сертификат EV указывает на то, что была проведена обширная проверка личности веб-сайта. Стандартные сертификаты SSL обеспечивают очень мало проверки личности веб-сайта.

Как браузеры отображают расширенные сертификаты проверки

На зашифрованном веб-сайте, который не использует расширенный сертификат проверки, Firefox сообщает, что веб-сайт «управляется (неизвестно)».

Chrome ничего не отображает и говорит, что личность веб-сайта была проверена центром сертификации, который выдал сертификат веб-сайта.

Когда вы подключены к веб-сайту, который использует расширенный сертификат проверки, Firefox сообщает, что он работает в определенной организации. Согласно этому диалоговому окну, VeriSign проверил, что мы подключены к реальному веб-сайту PayPal, которым управляет PayPal, Inc.

Когда вы подключены к сайту, который использует сертификат EV в Chrome, название вашей организации появляется в вашей адресной строке. Информационный диалог сообщает нам, что личность PayPal была проверена VeriSign с использованием расширенного сертификата проверки.

Проблема с SSL-сертификатами

Несколько лет назад центры сертификации использовали для проверки личности веб-сайта перед выдачей сертификата. Центр сертификации проверит, что компания, запрашивающая сертификат, зарегистрирована, позвонит по номеру телефона и проверит, что эта операция была законной операцией, соответствующей веб-сайту.

В конце концов, центры сертификации начали предлагать «доменные» сертификаты. Они были дешевле, поскольку для центра сертификации было меньше работы, чтобы быстро проверить, что запрашивающий владел определенным доменом (веб-сайтом).

Фишеры в конце концов начали пользоваться этим. Фишер может зарегистрировать домен paypall.com и приобрести сертификат только для домена. Когда пользователь подключается к paypall.com, в браузере пользователя отображается стандартный значок блокировки, что обеспечивает ложное чувство безопасности. Браузеры не отображали разницу между сертификатом только для домена и сертификатом, который требовал более тщательной проверки личности веб-сайта.

Доверие общественности к центрам сертификации для проверки веб-сайтов упало – это только один пример того, как центры сертификации не выполняют свою должную осмотрительность. В 2011 году Фонд Electronic Frontier обнаружил, что центры сертификации выпустили более 2000 сертификатов для «localhost» – имени, которое всегда относится к вашему текущему компьютеру. (Источник) В чужих руках такой сертификат может упростить атаки “человек посередине”.

Чем отличаются расширенные сертификаты валидации

Сертификат EV указывает, что центр сертификации проверил, что веб-сайт управляется определенной организацией. Например, если фишер попытается получить сертификат EV для paypall.com, запрос будет отклонен.

В отличие от стандартных сертификатов SSL, только сертификаты, которые проходят независимый аудит, могут выдавать сертификаты EV. Центр сертификации/Форум браузеров (CA/Browser Forum), добровольная организация центров сертификации и поставщиков браузеров, таких как Mozilla, Google, Apple и Microsoft, издает строгие правила, которым должны следовать все центры сертификации, выпускающие расширенные сертификаты проверки. Это в идеале предотвращает участие центров сертификации в очередной «гонке на дно», где они используют слабые методы проверки, чтобы предлагать более дешевые сертификаты.

Короче говоря, руководящие принципы требуют, чтобы центры сертификации проверяли организацию, запрашивающую сертификат, официально зарегистрирована, что она владеет соответствующим доменом и что лицо, запрашивающее сертификат, действует от имени организации. Это включает проверку правительственных документов, установление связи с владельцем домена и обращение в организацию для проверки того, что лицо, запрашивающее сертификат, работает на организацию.

В отличие от этого, проверка сертификата только для домена может включать только просмотр записей whois домена, чтобы убедиться, что владелец домена использует ту же информацию. Выдача сертификатов для доменов, подобных «localhost», подразумевает, что некоторые центры сертификации даже не проводят такой большой проверки.Сертификаты EV, по сути, являются попыткой восстановить доверие общественности к органам сертификации и восстановить их роль в качестве привратников против самозванцев.

Оцените статью
TutoryBird.Ru
Добавить комментарий