Как браузеры проверяют личность сайта и защищают от мошенников
Вы когда-нибудь замечали, что ваш браузер иногда отображает название организации сайта на зашифрованном сайте? Это признак того, что веб-сайт имеет расширенный сертификат проверки, указывающий, что личность веб-сайта была проверена.
Сертификаты EV не предоставляют никакой дополнительной силы шифрования - вместо этого, сертификат EV указывает, что была проведена обширная проверка личности веб-сайта. Стандартные SSL-сертификаты обеспечивают очень мало проверки личности сайта.
Как браузеры отображают расширенные сертификаты проверки
На зашифрованном веб-сайте, который не использует расширенный сертификат проверки, Firefox сообщает, что веб-сайт «управляется (неизвестно)».
Chrome не отображает ничего по-другому и говорит, что личность сайта была проверена центром сертификации, который выдал сертификат сайта.
Когда вы подключены к веб-сайту, который использует расширенный сертификат проверки, Firefox сообщает вам, что он работает в определенной организации. Согласно этому диалоговому окну, VeriSign проверил, что мы подключены к реальному веб-сайту PayPal, которым управляет PayPal, Inc.
Когда вы подключены к сайту, который использует сертификат EV в Chrome, название вашей организации появляется в вашей адресной строке. Информационный диалог сообщает нам, что личность PayPal была проверена VeriSign с использованием расширенного сертификата проверки.
Проблема с SSL-сертификатами
Несколько лет назад центры сертификации использовали для проверки личности веб-сайта перед выдачей сертификата. Центр сертификации проверит, что компания, запрашивающая сертификат, зарегистрирована, позвонит по номеру телефона и проверит, что бизнес был законной операцией, соответствующей веб-сайту..
В конце концов, центры сертификации начали предлагать «доменные» сертификаты. Они были дешевле, так как для центра сертификации было меньше работы, чтобы быстро проверить, что запрашивающий владел определенным доменом (веб-сайт).
Фишеры в конце концов начали пользоваться этим. Фишер может зарегистрировать домен paypall.com и приобрести сертификат только для домена. Когда пользователь подключается к paypall.com, в браузере пользователя отображается стандартная иконка замка, обеспечивающая ложное чувство безопасности. Браузеры не отображали разницу между сертификатом только для домена и сертификатом, который требовал более тщательной проверки подлинности веб-сайта..
Доверие общественности к центрам сертификации для проверки веб-сайтов упало - это только один пример того, как центры сертификации не выполняют свою должную осмотрительность. В 2011 году Фонд Electronic Frontier обнаружил, что центры сертификации выпустили более 2000 сертификатов для «localhost» - имени, которое всегда относится к вашему текущему компьютеру. (Источник) В чужих руках такой сертификат может упростить атаки "человек посередине"..
Чем отличаются расширенные сертификаты валидации
Сертификат EV указывает, что центр сертификации проверил, что веб-сайт управляется определенной организацией. Например, если фишер попытается получить сертификат EV для paypall.com, запрос будет отклонен.
В отличие от стандартных сертификатов SSL, только сертификаты, которые проходят независимый аудит, могут выдавать сертификаты EV. Центр сертификации / Форум браузеров (CA / Browser Forum), добровольная организация центров сертификации и поставщиков браузеров, таких как Mozilla, Google, Apple и Microsoft, издает строгие правила, которым должны следовать все центры сертификации, выпускающие расширенные сертификаты проверки. Это в идеале предотвращает участие центров сертификации в еще одной «гонке на дно», где они используют слабые методы проверки, чтобы предлагать более дешевые сертификаты.
Короче говоря, руководящие принципы требуют, чтобы центры сертификации проверяли организацию, запрашивающую сертификат, официально зарегистрирована, что она владеет соответствующим доменом, и что лицо, запрашивающее сертификат, действует от имени организации. Это включает проверку правительственных записей, связь с владельцем домена и контакт с организацией, чтобы убедиться, что лицо, запрашивающее сертификат, работает на организацию.
Напротив, проверка сертификата только для домена может включать в себя только просмотр записей whois домена, чтобы убедиться, что владелец регистрации использует ту же информацию. Выдача сертификатов для доменов, подобных «localhost», подразумевает, что некоторые центры сертификации даже не проводят такой большой проверки. Сертификаты EV являются, по сути, попыткой восстановить общественное доверие к органам сертификации и восстановить их роль в качестве привратников против мошенников..