Kaip naršyklės tikrina svetainės tapatybes ir apsaugo nuo sukčiavimo

Turinys:

Kaip naršyklės tikrina svetainės tapatybes ir apsaugo nuo sukčiavimo
Kaip naršyklės tikrina svetainės tapatybes ir apsaugo nuo sukčiavimo

Video: Kaip naršyklės tikrina svetainės tapatybes ir apsaugo nuo sukčiavimo

Video: Kaip naršyklės tikrina svetainės tapatybes ir apsaugo nuo sukčiavimo
Video: СНАСТЬ ГИРЛЯНДА (Паровоз) - САМАЯ УЛОВИСТАЯ Снасть для Зимней Рыбалки. Как Сделать, Связать - YouTube 2024, Lapkritis
Anonim
Ar kada nors pastebėjote, kad jūsų naršyklė kartais rodo svetainės organizacijos pavadinimą šifruotoje svetainėje? Tai yra ženklas, kad svetainėje yra išplėstas patvirtinimo sertifikatas, nurodantis, kad svetainės tapatybė buvo patvirtinta.
Ar kada nors pastebėjote, kad jūsų naršyklė kartais rodo svetainės organizacijos pavadinimą šifruotoje svetainėje? Tai yra ženklas, kad svetainėje yra išplėstas patvirtinimo sertifikatas, nurodantis, kad svetainės tapatybė buvo patvirtinta.

EV sertifikatai nesuteikia jokių papildomų šifravimo stiprumo, o EV sertifikatas rodo, kad įvyko platus svetainės tapatybės patikrinimas. Standartiniai SSL sertifikatai labai mažai patikrina svetainės tapatybę.

Kaip naršyklės rodomi išplėstiniai patvirtinimo sertifikatai

Užkoduotoje svetainėje, kurioje nenaudojamas išplėstas patvirtinimo sertifikatas, "Firefox" teigia, kad svetainė yra "valdoma (nežinoma)".

"Chrome" nieko kitaip nerodo ir sako, kad svetainės tapatybę patvirtino sertifikavimo institucija, išdavusi svetainės sertifikatą.
"Chrome" nieko kitaip nerodo ir sako, kad svetainės tapatybę patvirtino sertifikavimo institucija, išdavusi svetainės sertifikatą.
Kai esate prisijungę prie svetainės, kurioje naudojamas išplėstas patvirtinimo sertifikatas, "Firefox" nurodo, kad ją naudoja konkreti organizacija. Pagal šį dialogą "VeriSign" patvirtino, kad esame prisijungę prie realios "PayPal" svetainės, kuriai vadovauja PayPal, Inc.
Kai esate prisijungę prie svetainės, kurioje naudojamas išplėstas patvirtinimo sertifikatas, "Firefox" nurodo, kad ją naudoja konkreti organizacija. Pagal šį dialogą "VeriSign" patvirtino, kad esame prisijungę prie realios "PayPal" svetainės, kuriai vadovauja PayPal, Inc.
Kai prisijungiate prie svetainės, kurioje "Chrome" naudojamas "EV" sertifikatas, jūsų adreso juostoje rodomas organizacijos pavadinimas. Informaciniame dialoge mums pranešama, kad "PayPal" tapatybė buvo patvirtinta "VeriSign" naudojant išplėstinį patvirtinimo sertifikatą.
Kai prisijungiate prie svetainės, kurioje "Chrome" naudojamas "EV" sertifikatas, jūsų adreso juostoje rodomas organizacijos pavadinimas. Informaciniame dialoge mums pranešama, kad "PayPal" tapatybė buvo patvirtinta "VeriSign" naudojant išplėstinį patvirtinimo sertifikatą.
Image
Image

Problema su SSL sertifikatais

Prieš keletą metų sertifikatų institucijos, naudojamos svetainės tapatumo patvirtinimui, prieš išduodamos sertifikatą. Sertifikavimo įstaiga patikrintų, ar sertifikatą užregistravusi įmonė užregistruota, paskambinti telefono numeriu ir patikrinti, ar įmonė yra teisėta operacija, atitinkanti svetainę.

Galų gale sertifikatų tarnybos pradėjo siūlyti "tik domeno" sertifikatus. Tai buvo pigesni, nes sertifikavimo institucijai buvo mažiau darbų, kad būtų galima greitai patikrinti, ar prašytojas turi tam tikrą domeną (svetainę).

Piktoriai galiausiai pradėjo pasinaudoti šia galimybe. "Phisher" galėtų užregistruoti domeną paypall.com ir įsigyti tik domeno sertifikatą. Kai vartotojas prijungtas prie "paypall.com", vartotojo naršyklėje bus rodoma standartinė užrakto piktograma, suteikiant klaidingą saugumo jausmą. Naršyklės nerodė skirtumo tarp tik domeno sertifikato ir sertifikato, kuriame buvo išsamiau tikrinama svetainės tapatybė.

Visuomenės pasitikėjimas sertifikatų institucijomis, kad patikrintų svetaines, sumažėjo - tai tik vienas iš sertifikatų institucijų pavyzdžių, kurie nesugeba atlikti deramo patikrinimo. 2011 m. "Electronic Frontier Foundation" nustatė, kad sertifikatų institucijos išdavė daugiau kaip 2000 "vietinio" serverio sertifikatų - pavadinimų, kurie visada nurodo jūsų dabartinį kompiuterį. (Šaltinis) Neteisingose rankose toks sertifikatas gali palengvinti išpuolius tarpusavyje.

Image
Image

Kaip išplėstos patvirtinimo pažymos skiriasi

EV sertifikatas nurodo, kad sertifikavimo institucija patvirtino, kad svetainę valdo konkreti organizacija. Pavyzdžiui, jei "phisher" bandė gauti "EV" sertifikatą "paypall.com", prašymas bus atmestas.

Skirtingai nuo standartinių SSL sertifikatų, tik sertifikato institucijos, perduodančios nepriklausomą auditą, gali išduoti EV sertifikatus. Sertifikavimo institucija / naršyklių forumas (CA / Browser forumas), savanoriškas sertifikavimo institucijų ir naršyklių paslaugų teikėjų, pvz., "Mozilla", "Google", "Apple" ir "Microsoft", organizavimas nustato griežtas gaires, kurių turi laikytis visos sertifikatų institucijos, išduodančios išplėstinius patvirtinimo sertifikatus. Tai idealiomis priemonėmis neleidžia sertifikatų institucijoms įsitraukti į kitą "lenktynes į apačią", kur jie naudojasi lengvais patikrinimais, kad galėtų pasiūlyti pigesnius sertifikatus.

Trumpai tariant, gairėse reikalaujama, kad sertifikatų institucijos patikrintų, ar organizacija, prašanti, kad sertifikatas būtų oficialiai įregistruotas, kad jis turi atitinkamą domeną ir kad asmuo, prašantis sertifikato, veiktų organizacijos vardu. Tai apima valdžios sektoriaus įrašų tikrinimą, susisiekimą su domeno savininku ir susisiekimą su organizacija, siekiant patikrinti, ar sertifikatą prašantis asmuo dirba organizacijai.

Priešingai, domeno tikrinto sertifikato patvirtinimas gali apsilankyti tik domeno whois įrašuose, kad patikrintų, ar registruotojas naudoja tą pačią informaciją. Sertifikatų išdavimas domenams, pvz., "Localhost", reiškia, kad kai kurios sertifikatų institucijos netgi ne tokie daug patikrina. EV sertifikatai iš esmės yra bandymas atkurti visuomenės pasitikėjimą sertifikatų tarnybomis ir atstatyti jų vaidmenį kaip apsauginius vartus nuo užpuolikų.

Rekomenduojamas: