Skip to main content

Kā pārlūkprogrammas verificē vietnes identitāti un aizsargā pret piesaistītājiem

Kā pārlūkprogrammas verificē vietnes identitāti un aizsargā pret piesaistītājiem

Geoffrey Carr

Vai kādreiz esat pamanījuši, ka jūsu pārlūkprogramma dažreiz parāda vietnes organizācijas nosaukumu šifrētā vietnē? Šī ir zīme, ka vietnei ir pagarināts validācijas sertifikāts, kas norāda, ka vietnes identitāte ir verificēta.

EV sertifikāti nesniedz nekādu papildu šifrēšanas spēku - tā vietā EV sertifikāts norāda, ka ir notikusi plaša vietnes identitātes pārbaude. Standarta SSL sertifikāti sniedz ļoti nelielu tīmekļa vietnes identitātes pārbaudi.

Kā pārlūkprogrammās tiek parādīti paplašināti validācijas sertifikāti

Šifrētā vietnē, kurā netiek izmantots pagarināts validācijas sertifikāts, Firefox saka, ka vietne ir "vada (nav zināms)".

Chrome neparādās nekas citādi, un apgalvo, ka vietnes identitāte tika pārbaudīta sertifikācijas iestādē, kas izdevusi vietnes sertifikātu.

Kad esat izveidojis savienojumu ar vietni, kurā tiek izmantots pagarināts validācijas sertifikāts, Firefox paziņo, ka to vada konkrēta organizācija. Saskaņā ar šo dialoglodziņu, VeriSign ir apstiprinājis, ka mēs esam izveidojuši savienojumu ar reālo PayPal vietni, kuru vada PayPal, Inc

Ja esat izveidojis savienojumu ar vietni, kurā Chrome izmanto EV sertifikātu, jūsu adreses joslā tiek parādīts organizācijas nosaukums. Informācijas dialoglodziņš liek mums, ka PayPal identitāte ir verificēta ar VeriSign, izmantojot paplašinātu validācijas sertifikātu.

Problēma ar SSL sertifikātiem

Pirms gadiem sertificēšanas iestādes pirms mājas lapas sertifikāta izsniegšanas pārbaudīja vietnes identitāti. Sertifikācijas iestāde pārbauda, ​​vai uzņēmums, kas lūdz sertifikātu, ir reģistrēts, zvanīt uz tālruņa numuru un pārliecināties, vai uzņēmums ir likumīgs darījums, kas atbilst vietnei.

Galu galā sertifikātu iestādes sāka piedāvāt "domēnu tikai" sertifikātus. Tie bija lētāki, jo sertifikātu iestādei bija mazāks darbs, lai ātri pārbaudītu, vai pieprasītājam pieder īpašs domēns (tīmekļa vietne).

Pikšķerētāji beidzot sāka to izmantot. Phisher var reģistrēt domēnu paypall.com un iegādāties tikai domēnu sertifikātu. Ja lietotājs ir savienots ar paypall.com, lietotāja pārlūkprogrammā tiek parādīta standarta atslēgas ikona, kas nodrošina nepatiesu drošības sajūtu. Pārlūkprogrammās netika parādīta atšķirība starp tikai domēnu sertifikātu un sertifikātu, kurā bija plašāka tīmekļa vietnes identitātes pārbaude.

Sabiedrības uzticēšanās sertifikātu iestādēm, lai pārbaudītu tīmekļa vietnes, ir samazinājusies - šis ir tikai viens piemērs sertifikātu iestādēm, kuras nespēj veikt pienācīgu rūpību. 2011. gadā Electronic Frontier Foundation konstatēja, ka sertifikātu iestādes ir izsniegušas vairāk nekā 2000 sertifikātus vietējam serverim - nosaukumam, kas vienmēr attiecas uz jūsu pašreizējo datoru. (Avots) Nepareizās rokās šāds sertifikāts varētu padarīt vienkāršākus uzbrukumus cilvēkiem.

Cik paplašināti validācijas sertifikāti ir atšķirīgi

EV sertifikāts norāda, ka sertifikātu iestāde ir pārbaudījusi, vai vietni vada konkrēta organizācija. Piemēram, ja fikators mēģina iegūt EV sertifikātu paypall.com, pieprasījums tiks noraidīts.

Atšķirībā no standarta SSL sertifikātiem, tikai sertifikātu iestādēm, kas nodod neatkarīgu revīziju, ir atļauts izdot EV sertifikātus. Sertifikācijas iestāde / pārlūka forums (CA / Browser Forum), sertifikācijas iestāžu un pārlūkprogrammu pakalpojumu sniedzēju brīvprātīga organizācija, piemēram, Mozilla, Google, Apple un Microsoft, izsniedz stingras vadlīnijas, kas jāievēro visām sertifikātu iestādēm, kas izsniedz pagarinātas validācijas sertifikātus. Tas ideāli neļauj sertifikātu iestādēm iesaistīties citā "sacensībā uz leju", kur tās izmanto vienkāršas pārbaudes procedūras, lai piedāvātu lētākus sertifikātus.

Īsāk sakot, vadlīnijās prasīts, lai sertifikātu iestādes pārbauda, ​​vai organizācija, kas lūdz sertifikātu, ir oficiāli reģistrēta, ka tai pieder attiecīgais domēns, un ka persona, kas pieprasa sertifikātu, rīkojas organizācijas vārdā. Tas ietver valdības ierakstu pārbaudi, sazinoties ar domēna īpašnieku un sazinoties ar organizāciju, lai pārliecinātos, ka persona, kas pieprasa sertifikātu, strādā organizācijai.

Savukārt tikai domēnu sertifikāta verifikācija var ietvert tikai skatienu domēna whois ierakstos, lai pārbaudītu, vai reģistrētājs izmanto to pašu informāciju. Sertifikātu izsniegšana domēniem, piemēram, "localhost", nozīmē, ka dažas sertifikātu iestādes pat nespēj veikt tik daudz pārbaudes. EV sertifikāti būtībā ir mēģinājums atjaunot sabiedrības uzticību sertifikātu iestādēm un atjaunot to lomu vārtu apsaimniekotājos pret imposters.

Link
Plus
Send
Send
Pin