Hogyan ellenőrzik a böngészők a webhelyazonosságokat és védik az imposters ellen
Észrevetted már valaha, hogy böngészőnk néha egy titkosított webhelyen megjeleníti a webhely szervezetének nevét? Ez a jel arra utal, hogy a webhely kiterjesztett érvényesítési tanúsítvánnyal rendelkezik, jelezve, hogy a webhely személyazonosságát igazolták.
Az EV-tanúsítványok nem nyújtanak további titkosítási erőt - ehelyett az EV-tanúsítvány azt jelzi, hogy a webhely személyazonosságának kiterjedt ellenőrzése történt. A szabványos SSL-tanúsítványok nagyon kevés ellenőrzést tanúsítanak a webhely személyazonosságáról.
Hogyan böngészők megjelenítik a kiterjesztett hitelesítési tanúsítványokat
A Firefox azt a titkosított webhelyet használja, amely nem használja a kiterjesztett hitelesítési tanúsítványt, és azt állítja, hogy a webhely „nem ismert”.
A Chrome nem mutat semmit másképp, és azt mondja, hogy a webhely azonosságát a webhely tanúsítványát kiadó tanúsítvány-hatóság ellenőrizte.
Ha olyan webhelyhez csatlakozik, amely kiterjesztett hitelesítési tanúsítványt használ, a Firefox azt mondja el, hogy egy adott szervezet működteti. A párbeszédpanel szerint a VeriSign meggyőződött arról, hogy csatlakozunk a PayPal, Inc által üzemeltetett valós PayPal webhelyhez..
Ha egy olyan webhelyhez csatlakozik, amely EV-tanúsítványt használ a Chrome-ban, a szervezet neve megjelenik a címsorában. Az információs párbeszédpanel azt jelzi, hogy a PayPal azonosságát a VeriSign megerősítette egy kiterjesztett érvényesítési tanúsítvány használatával.
Az SSL tanúsítványokkal kapcsolatos probléma
Évekkel ezelőtt a tanúsítványok hatóságai a webhely személyazonosságának ellenőrzésére használták a tanúsítvány kiadása előtt. A tanúsító hatóság ellenőrzi, hogy a tanúsítványt kérő vállalkozás regisztrált, hívja-e a telefonszámot, és ellenőrizze, hogy a vállalkozás jogszerű művelet volt-e, amely megfelel a webhelynek.
Végül a tanúsító hatóságok elindították a „csak domain” tanúsítványokat. Ezek olcsóbbak voltak, mivel a tanúsító hatóságnak kevesebb munkája volt annak, hogy gyorsan ellenőrizze, hogy a kérelmező egy adott domain (webhely) tulajdonosa.
Az adathalászok végül elkezdték ezt kihasználni. A phisher regisztrálhatja a domain paypall.com domainjét, és csak domain-tanúsítványt vásárolhat. Amikor a felhasználó csatlakozik a paypall.com-hoz, a felhasználó böngészője megjeleníti a szabványos zár ikonját, amely hamis biztonságérzetet biztosít. A böngészők nem mutattak különbséget a csak domain-tanúsítvány és a webhely személyazonosságának kiterjedtebb ellenőrzésével kapcsolatos tanúsítvány között.
A tanúsítvány-hatóságoknak a weboldalak ellenőrzése iránti bizalma csökkent - ez csak egy példa arra, hogy a tanúsító hatóságok nem teljesítették kellő gondosságukat. 2011-ben az Electronic Frontier Foundation megállapította, hogy a tanúsítványok hatóságai több mint 2000 tanúsítványt adtak ki a „localhost” számára - ez a név mindig az aktuális számítógépre utal. (Forrás) A rossz kezekben egy ilyen tanúsítvány megkönnyítheti az ember közepén lévő támadásokat.
A kiterjesztett érvényesítési tanúsítványok eltérőek
Az EV-tanúsítvány azt jelzi, hogy a tanúsító hatóság meggyőződött arról, hogy a webhelyet egy adott szervezet működteti. Például, ha egy phisher megpróbál egy EV-tanúsítványt fizetni a paypall.com-hoz, a kérés le lett tiltva.
A szabványos SSL-tanúsítványokkal ellentétben csak a független ellenőrzést végző tanúsítványhatóságok adhatnak ki EV tanúsítványokat. A tanúsító hatóság / böngészőfórum (CA / Browser Forum), a tanúsító hatóságok és a böngésző-gyártók önkéntes szervezete, mint például a Mozilla, a Google, az Apple és a Microsoft szigorú irányelveket vezet be, amelyeket a tanúsítványt kiadó valamennyi kiterjesztett érvényesítési tanúsítványt kibocsátó hatóságnak követnie kell. Ez ideális esetben megakadályozza, hogy a tanúsítványi hatóságok egy másik „futamot legyenek alulról”, ahol olcsóbb hitelesítési gyakorlatokat használnak olcsóbb tanúsítványok felajánlásához.
Röviden, az iránymutatások előírják, hogy a tanúsítványok hatóságai ellenőrizzék, hogy a tanúsítványt kérő szervezet hivatalosan regisztrálva van-e, hogy rendelkezik-e a kérdéses domainrel, és hogy a tanúsítványt kérő személy a szervezet nevében jár el. Ez magában foglalja a kormányzati nyilvántartások ellenőrzését, a domain tulajdonosával való kapcsolatfelvételt, valamint a szervezethez való kapcsolattartást annak ellenőrzésére, hogy a tanúsítványt kérő személy a szervezet számára működik-e.
Ezzel ellentétben a csak domain-tanúsítvány ellenőrzés csak a domain névjegyeinek pillantását vonhatja maga után, hogy ellenőrizze, hogy a regisztráló ugyanazt az információt használja. Az olyan tanúsítványok kiadása, mint például a „localhost”, azt jelenti, hogy egyes tanúsítványok hatóságai még nem teszik ezt a sok ellenőrzést. Az EV-tanúsítványok alapvetően egy kísérlet arra, hogy visszaállítsák a nyilvánosság bizalmát a tanúsító hatóságok iránt, és visszaállítsák szerepüket az átjárókkal szemben.