εικόνα

Έχετε παρατηρήσει ποτέ ότι το πρόγραμμα περιήγησής σας εμφανίζει μερικές φορές το όνομα οργανισμού ενός ιστότοπου σε έναν κρυπτογραφημένο ιστότοπο; Αυτό είναι ένα σημάδι ότι ο ιστότοπος διαθέτει εκτεταμένο πιστοποιητικό επικύρωσης, που δείχνει ότι η ταυτότητα του ιστότοπου έχει επαληθευτεί.

Τα πιστοποιητικά EV δεν παρέχουν επιπλέον ισχύ κρυπτογράφησης - αντ 'αυτού, ένα πιστοποιητικό EV υποδεικνύει ότι έχει πραγματοποιηθεί εκτεταμένη επαλήθευση της ταυτότητας του ιστότοπου. Τα τυπικά πιστοποιητικά SSL παρέχουν πολύ λίγη επαλήθευση της ταυτότητας ενός ιστότοπου.

Πώς τα προγράμματα περιήγησης εμφανίζουν εκτεταμένα πιστοποιητικά επικύρωσης

Σε έναν κρυπτογραφημένο ιστότοπο που δεν χρησιμοποιεί εκτεταμένο πιστοποιητικό επικύρωσης, ο Firefox λέει ότι ο ιστότοπος «διευθύνεται από (άγνωστο)».

εικόνα

Το Chrome δεν εμφανίζει τίποτα διαφορετικά και λέει ότι η ταυτότητα του ιστότοπου επαληθεύτηκε από την αρχή έκδοσης πιστοποιητικών που εξέδωσε το πιστοποιητικό του ιστότοπου.

εικόνα

Όταν είστε συνδεδεμένοι σε έναν ιστότοπο που χρησιμοποιεί ένα εκτεταμένο πιστοποιητικό επικύρωσης, ο Firefox σας λέει ότι διευθύνεται από έναν συγκεκριμένο οργανισμό. Σύμφωνα με αυτό το παράθυρο διαλόγου, η VeriSign επαλήθευσε ότι είμαστε συνδεδεμένοι στον πραγματικό ιστότοπο PayPal, τον οποίο διαχειρίζεται η PayPal, Inc.

εικόνα

Όταν είστε συνδεδεμένοι σε έναν ιστότοπο που χρησιμοποιεί πιστοποιητικό EV στο Chrome, το όνομα του οργανισμού εμφανίζεται στη γραμμή διευθύνσεών σας. Ο διάλογος πληροφοριών μας λέει ότι η ταυτότητα του PayPal έχει επαληθευτεί από το VeriSign χρησιμοποιώντας ένα εκτεταμένο πιστοποιητικό επικύρωσης.

εικόνα

Το πρόβλημα με τα πιστοποιητικά SSL

Πριν από χρόνια, οι αρχές έκδοσης πιστοποιητικών χρησιμοποιούνταν για την επαλήθευση της ταυτότητας ενός ιστότοπου πριν από την έκδοση ενός πιστοποιητικού. Η αρχή έκδοσης πιστοποιητικών θα επαληθεύσει ότι η επιχείρηση που ζητούσε το πιστοποιητικό έχει καταχωρηθεί, καλεί τον αριθμό τηλεφώνου και επαληθεύει ότι η επιχείρηση ήταν νόμιμη λειτουργία που ταιριάζει με τον ιστότοπο.

Τελικά, οι αρχές έκδοσης πιστοποιητικών άρχισαν να προσφέρουν πιστοποιητικά «μόνο για τομέα». Αυτά ήταν φθηνότερα, καθώς η αρχή έκδοσης πιστοποιητικών έπρεπε να ελέγξει γρήγορα ότι ο αιτών διέθετε έναν συγκεκριμένο τομέα (ιστότοπος).

Οι Phishers άρχισαν τελικά να το εκμεταλλεύονται. Ένας phisher θα μπορούσε να εγγράψει τον τομέα paypall.com και να αγοράσει ένα πιστοποιητικό μόνο για τομέα. Όταν ένας χρήστης που συνδέεται στο paypall.com, το πρόγραμμα περιήγησης του χρήστη θα εμφανίζει το τυπικό εικονίδιο κλειδώματος, παρέχοντας μια ψευδή αίσθηση ασφάλειας. Τα προγράμματα περιήγησης δεν εμφάνισαν τη διαφορά μεταξύ ενός πιστοποιητικού μόνο τομέα και ενός πιστοποιητικού που περιελάμβανε εκτενέστερη επαλήθευση της ταυτότητας του ιστότοπου.

Η εμπιστοσύνη του κοινού στις αρχές έκδοσης πιστοποιητικών για την επαλήθευση ιστοτόπων έχει μειωθεί - αυτό είναι ένα μόνο παράδειγμα των αρχών έκδοσης πιστοποιητικών που δεν έδωσαν τη δέουσα επιμέλεια. Το 2011, το Electronic Frontier Foundation διαπίστωσε ότι οι αρχές έκδοσης πιστοποιητικών είχαν εκδώσει πάνω από 2000 πιστοποιητικά για το "localhost" - ένα όνομα που αναφέρεται πάντα στον τρέχοντα υπολογιστή σας. (Πηγή) Σε λάθος χέρια, ένα τέτοιο πιστοποιητικό θα μπορούσε να διευκολύνει τις επιθέσεις man-in-the-middle.

εικόνα

Πώς τα πιστοποιητικά εκτεταμένης επικύρωσης είναι διαφορετικά

Ένα πιστοποιητικό EV υποδεικνύει ότι μια αρχή έκδοσης πιστοποιητικών έχει επαληθεύσει ότι ο ιστότοπος λειτουργεί από έναν συγκεκριμένο οργανισμό. Για παράδειγμα, εάν ένας phisher προσπάθησε να λάβει πιστοποιητικό EV για το paypall.com, το αίτημα θα απορρίφθηκε.

Σε αντίθεση με τα τυπικά πιστοποιητικά SSL, μόνο οι αρχές έκδοσης πιστοποιητικών που περνούν ανεξάρτητο έλεγχο επιτρέπεται να εκδίδουν πιστοποιητικά EV. Το Φόρουμ Αρχής Πιστοποίησης / Πρόγραμμα περιήγησης (CA / Browser Forum), ένας εθελοντικός οργανισμός αρχών πιστοποίησης και προμηθευτές προγραμμάτων περιήγησης όπως οι Mozilla, Google, Apple και Microsoft εκδίδουν αυστηρές οδηγίες που πρέπει να ακολουθούν όλες οι αρχές έκδοσης πιστοποιητικών που εκδίδουν εκτεταμένα πιστοποιητικά επικύρωσης. Αυτό αποτρέπει ιδανικά τις αρχές έκδοσης πιστοποιητικών να συμμετάσχουν σε μια άλλη «κούρσα προς τα κάτω», όπου χρησιμοποιούν χαλαρές πρακτικές επαλήθευσης για να προσφέρουν φθηνότερα πιστοποιητικά.

Εν ολίγοις, οι οδηγίες απαιτούν από τις αρχές έκδοσης πιστοποιητικών να επαληθεύσουν ότι ο οργανισμός που ζητά το πιστοποιητικό είναι επίσημα εγγεγραμμένος, ότι κατέχει τον εν λόγω τομέα και ότι το άτομο που ζητά το πιστοποιητικό ενεργεί εκ μέρους του οργανισμού. Αυτό περιλαμβάνει τον έλεγχο κρατικών εγγραφών, την επικοινωνία με τον κάτοχο του τομέα και την επικοινωνία με τον οργανισμό για να επαληθευτεί ότι το άτομο που ζητά το πιστοποιητικό λειτουργεί για τον οργανισμό.

Αντίθετα, μια επαλήθευση πιστοποιητικού μόνο για τομέα ενδέχεται να περιλαμβάνει μόνο μια ματιά στις εγγραφές Whois του τομέα για να επαληθεύσει ότι ο καταχωρίζων χρησιμοποιεί τις ίδιες πληροφορίες. Η έκδοση πιστοποιητικών για τομείς όπως το "localhost" συνεπάγεται ότι ορισμένες αρχές έκδοσης πιστοποιητικών δεν κάνουν καν τόσο μεγάλη επαλήθευση. Τα πιστοποιητικά EV είναι, ουσιαστικά, μια προσπάθεια να αποκατασταθεί η εμπιστοσύνη του κοινού στις αρχές έκδοσης πιστοποιητικών και να αποκατασταθεί ο ρόλος τους ως φύλακες έναντι των απατεώνων.

εικόνα