Як браузери перевіряють ідентичність веб-сайту та захищають їх від імпостерів
Ви коли-небудь помічали, що у вашому веб-переглядачі іноді відображається назва організації веб-сайту на зашифрованому сайті? Це ознака того, що веб-сайт має розширений сертифікат перевірки, який вказує, що ідентифікацію веб-сайту було підтверджено.
Сертифікати EV не надають додаткової сили шифрування - замість цього сертифікат EV вказує на те, що відбулася велика перевірка ідентичності веб-сайту. Стандартні сертифікати SSL забезпечують дуже невелику перевірку ідентичності веб-сайту.
Як браузери відображають розширені сертифікати перевірки
На зашифрованому веб-сайті, який не використовує розширений сертифікат перевірки, Firefox каже, що веб-сайт "запускається (невідомо)".
Chrome не відображає нічого іншого і говорить, що ідентифікацію веб-сайту підтвердила служба сертифікації, яка видала сертифікат веб-сайту.
Коли ви під’єднані до веб-сайту, який використовує розширений сертифікат перевірки, Firefox повідомляє, що він запускається певною організацією. Згідно з цим діалоговим вікном, VeriSign перевірив, що ми підключені до реального веб-сайту PayPal, яким керує PayPal, Inc.
Коли ви під’єднані до сайту, який використовує сертифікат EV у Chrome, назва організації відображається в адресному рядку. Інформаційне діалогове вікно повідомляє, що ідентифікатор PayPal був перевірений VeriSign за допомогою розширеного сертифіката перевірки.
Проблема з SSL сертифікатами
Багато років тому сертифікаційні органи використовували для підтвердження ідентичності веб-сайту перед видачею сертифіката. Орган сертифікації перевірятиме реєстрацію підприємства, який запитує сертифікат, викликає номер телефону та перевіряє, чи ця компанія є законною операцією, яка відповідає веб-сайту.
Зрештою, органи сертифікації почали пропонувати сертифікати "тільки для домену". Це було дешевше, оскільки для органу сертифікатів було менше роботи, щоб швидко перевірити, що запитувач володіє певним доменом (веб-сайтом).
Фішери зрештою почали використовувати це. Фішер може зареєструвати домен paypall.com і придбати сертифікат, що стосується тільки домену. Коли користувач підключений до paypall.com, браузер користувача буде відображати стандартну піктограму блокування, що забезпечує помилкове почуття безпеки. У веб-переглядачі не відображається різниця між сертифікатом, що стосується тільки домену, і сертифікатом, який передбачає більш широку перевірку ідентичності веб-сайту.
Довіра громадськості до сертифікаційних органів для перевірки веб-сайтів знизилася - це лише один з прикладів, коли сертифікаційні органи не виконують належну перевірку. У 2011 році Фонд електронних кордонів виявив, що сертифікаційні установи видали більше 2000 сертифікатів для “localhost” - ім'я, яке завжди відноситься до вашого поточного комп'ютера. (Джерело) У чужих руках, такий сертифікат може полегшити атаки людини в середині.
Як відрізняються розширені сертифікати перевірки
Сертифікат EV вказує, що центр сертифікації перевірив, що веб-сайт керує певна організація. Наприклад, якщо фішер спробував отримати сертифікат EV для paypall.com, запит буде відхилено.
На відміну від стандартних SSL-сертифікатів, лише сертифікати, які проходять незалежний аудит, можуть видавати сертифікати EV. Орган з сертифікації / Форуми браузерів (CA / Browser Forum), добровільна організація органів з сертифікації та постачальників веб-переглядачів, таких як Mozilla, Google, Apple і Microsoft, висуває чіткі правила, за якими повинні відповідати всі сертифікаційні органи, які видають розширені сертифікати. Це ідеально не дає змоги сертифікаційним органам вступати в іншу «гонку до дна», де вони використовують невиправдану практику верифікації, щоб запропонувати більш дешеві сертифікати.
Коротше кажучи, керівні принципи вимагають, щоб сертифікаційні органи перевіряли організацію, яка запитує сертифікат, офіційно зареєстровану, що вона володіє даним доменом і що особа, яка запитує сертифікат, діє від імені організації. Це включає перевірку державних записів, звернення до власника домену та зв’язок із організацією, щоб переконатися, що особа, яка запитує сертифікат, працює в організації.
Навпаки, перевірка сертифіката, що стосується тільки домену, може включати лише погляд на записи Whois домену, щоб перевірити, що реєстрант використовує ту ж інформацію. Видача сертифікатів для доменів, таких як "localhost", означає, що деякі сертифікати навіть не роблять такої перевірки. Сертифікати EV - це, по суті, спроба відновити довіру громадськості до сертифікаційних органів і відновити їхню роль воротарів проти самозванців.