כיצד דפדפנים לאמת את זהות האתר והגנה מפני imposters
האם אי פעם שמתי לב שהדפדפן שלך מציג לפעמים את שם הארגון של האתר באתר מוצפן? זהו סימן לכך שלאתר יש תעודת אימות מורחבת, המציינת שהזהות של האתר אומתה.
אישורי EV אינם מספקים כוח הצפנה נוסף - במקום זאת, תעודת EV מעידה על אימות נרחב של זהות האתר. אישורי SSL סטנדרטיים מספקים אימות מועט מאוד לזהות הזהות של האתר.
כיצד דפדפנים הצגת תעודות אימות מורחבת
באתר מוצפן שאינו משתמש בתעודת אימות מורחבת, פיירפוקס אומר שהאתר "מנוהל ע"י (לא ידוע)".
Chrome אינו מציג דבר אחר ואומר שהזהות של האתר אושרה על ידי רשות האישורים שהנפיקה את אישור האתר.
כאשר אתה מחובר לאתר אינטרנט המשתמש בתעודת אימות מורחבת, Firefox אומר לך שהוא מופעל על ידי ארגון מסוים. על פי שיח זה, VeriSign אימת כי אנו מחוברים לאתר PayPal האמיתי, אשר מנוהל על ידי PayPal, Inc.
כאשר אתה מחובר לאתר המשתמש בתעודת EV ב- Chrome, שם הארגון מופיע בסרגל הכתובות שלך. תיבת הדו-שיח של המידע מספרת לנו שהזהות של PayPal אומתה על-ידי VeriSign באמצעות אישור אימות מורחב.
הבעיה עם אישורי SSL
לפני שנים, רשויות האישור השתמשו באימות זהות של אתר לפני הנפקת אישור. רשות האישורים תבדוק שהעסק המבקש את האישור נרשם, התקשר למספר הטלפון וודא שהעסק היה פעולה לגיטימית התואמת את האתר.
בסופו של דבר, רשויות האישורים החלו להציע תעודות "דומיין בלבד". אלה היו זולים יותר, שכן זה היה פחות עבודה עבור הסמכה הסמכה לבדוק במהירות כי המבקש בבעלות תחום מסוים (אתר אינטרנט).
Phishers בסופו של דבר החלו לנצל את זה. פישר יכול לרשום את התחום paypall.com ולרכוש אישור תחום בלבד. כאשר משתמש מחובר ל- paypall.com, הדפדפן של המשתמש יציג את סמל המנעול הרגיל, ויספק תחושת ביטחון מזויפת. דפדפנים לא הציגו את ההבדל בין אישור דומיין בלבד לבין אישור שהכיל אימות נרחב יותר של זהות האתר.
אמון הציבור רשויות אישורים לאמת אתרי אינטרנט נפל - זה רק דוגמה אחת של רשויות האישור נכשלת לעשות בדיקת נאותות שלהם. בשנת 2011, קרן אלקטרונית קרן מצאו כי תעודות הסמכה הוציא מעל 2000 אישורים עבור "localhost" - שם זה תמיד מתייחס למחשב הנוכחי שלך. (מקור) בידיים הלא נכונות, תעודה כזו עלולה להפוך את ההתקפות של האדם-אל-האמצעי לקלות יותר.
כיצד אישורי אימות מורחבים שונים
אישור EV מציין שרשות אישורים אימתה שהאתר מופעל על ידי ארגון מסוים. לדוגמה, אם פישר ניסה להשיג אישור EV עבור paypall.com, הבקשה תידחה.
שלא כמו אישורי SSL סטנדרטיים, רק רשויות אישורים העוברות ביקורת עצמאית רשאות להנפיק אישורי EV. הפורום של רשות האישורים / דפדפן (CA / Browser Forum), ארגון וולונטרי של רשויות הסמכה וספקי דפדפן כגון Mozilla, Google, Apple ו- Microsoft מנחים קווים מנחים קפדניים, שעל כל רשויות האישורים המנפיקות תעודות אימות מורחבות לבצע. זה מונע באופן אידיאלי את רשויות התעודה מלהתערב "מרוץ לתחתית", שם הם משתמשים בשיטות אימות חלשות כדי להציע אישורים זולים יותר.
בקיצור, ההנחיות דורשות מרשויות אישורים לאמת את הארגון המבקש את האישור רשום באופן רשמי, כי הוא הבעלים של התחום המדובר, וכי האדם המבקש את האישור פועל בשם הארגון. הדבר כולל בדיקת רשומות ממשלתיות, פנייה לבעלים של הדומיין, ופנייה לארגון כדי לוודא שהאדם המבקש את התעודה פועל עבור הארגון.
לעומת זאת, אימות אישור דומיין בלבד עשוי לכלול רק מבט על רשומות whois של הדומיין כדי לוודא שהרשם משתמש באותו מידע. הנפקת תעודות עבור תחומים כמו "localhost" מרמז כי כמה רשויות אישורים הם אפילו לא עושה את זה הרבה אימות. תעודות EV הן, ביסודו של דבר, ניסיון להחזיר את אמון הציבור ברשויות התעודה ולהשיב את תפקידן כשומרי סף נגד מתחזים.