Bagaimana Pelayar Mengesahkan Identiti Laman Web dan Melindungi Terhadap Penceroboh
Pernahkah anda perasan bahawa penyemak imbas anda kadang-kadang memaparkan nama organisasi laman web di tapak web yang disulitkan? Ini adalah tanda bahawa laman web ini mempunyai sijil pengesahan lanjutan, yang menunjukkan bahawa identiti tapak web telah diverifikasi.
Sijil EV tidak menyediakan sebarang kekuatan penyulitan tambahan - sebaliknya, sijil EV menunjukkan bahawa pengesahan luas identiti laman web telah berlaku. Sijil SSL standard memberikan pengesahan yang sangat sedikit tentang identiti laman web.
Bagaimana Paparan Paparan Sijil Pengesahan Diperluas
Di laman web yang disulitkan yang tidak menggunakan sijil pengesahan lanjutan, Firefox mengatakan bahawa laman web itu "dijalankan oleh (tidak diketahui)."
Chrome tidak memaparkan apa-apa secara berbeza dan mengatakan bahawa identiti laman web itu telah disahkan oleh pihak berkuasa sijil yang mengeluarkan sijil laman web.
Apabila anda disambungkan ke laman web yang menggunakan sijil pengesahan lanjutan, Firefox memberitahu anda ia dijalankan oleh organisasi tertentu. Menurut dialog ini, VeriSign telah mengesahkan bahawa kami disambungkan ke laman web PayPal sebenar, yang dijalankan oleh PayPal, Inc.
Apabila anda disambungkan ke tapak yang menggunakan sijil EV di Chrome, nama organisasi muncul di bar alamat anda. Dialog maklumat memberitahu kami bahawa identiti PayPal telah disahkan oleh VeriSign menggunakan sijil pengesahan lanjutan.
Masalah dengan Sijil SSL
Tahun lalu, pihak berkuasa sijil digunakan untuk mengesahkan identiti laman web sebelum mengeluarkan sijil. Pihak berkuasa sijil akan memeriksa bahawa perniagaan yang meminta sijil didaftarkan, memanggil nombor telefon, dan mengesahkan bahawa perniagaan adalah operasi sah yang sepadan dengan tapak web.
Akhirnya, pihak berkuasa sijil mula menawarkan sijil "domain sahaja". Ini adalah lebih murah, kerana ia kurang berfungsi untuk pihak berkuasa sijil untuk memeriksa dengan cepat bahawa pemohon memiliki domain tertentu (laman web).
Phisher akhirnya mula mengambil kesempatan ini. Phisher boleh mendaftarkan paypall.com domain dan membeli sijil hanya domain. Apabila pengguna berhubung dengan paypall.com, penyemak imbas pengguna akan memaparkan ikon kunci standard, memberikan rasa aman palsu. Penyemak imbas tidak memaparkan perbezaan di antara sijil satu-satunya domain dan sijil yang melibatkan pengesahan lebih luas mengenai identiti tapak web.
Kepercayaan orang ramai terhadap pihak berkuasa perakuan untuk mengesahkan laman web telah jatuh - ini hanya satu contoh pihak berkuasa sijil yang gagal melakukan ketekunan wajar mereka. Pada tahun 2011, Yayasan Frontier Elektronik mendapati bahawa pihak berkuasa sijil telah mengeluarkan lebih daripada 2000 sijil untuk "localhost" - nama yang selalu merujuk kepada komputer semasa anda. (Sumber) Di tangan yang salah, sijil sedemikian boleh membuat serangan lelaki-dalam-tengah lebih mudah.
Bagaimana Sijil Pengesahan Keluasan Adakah Berbeza
Suatu sijil EV menunjukkan bahawa pihak berkuasa sijil telah mengesahkan bahawa laman web ini dijalankan oleh organisasi tertentu. Sebagai contoh, jika seorang phisher cuba mendapatkan sijil EV untuk paypall.com, permintaan itu akan ditolak.
Tidak seperti sijil SSL standard, hanya pihak berkuasa sijil yang meluluskan audit bebas dibenarkan mengeluarkan sijil EV. Pihak Berkuasa Pensijilan / Forum Penyemak imbas (Forum CA / Penyemak Imbas), organisasi pihak berkuasa perakuan sukarela dan vendor penyemak imbas seperti Mozilla, Google, Apple, dan Microsoft mengeluarkan garis panduan ketat bahawa semua pihak berkuasa sijil yang mengeluarkan sijil pengesahan lanjutan mesti mengikuti. Ini secara ideal menghalang pihak berkuasa sijil daripada terlibat dalam "perlumbaan ke bawah" yang lain, di mana mereka menggunakan amalan verifikasi lekukan untuk menawarkan sijil lebih murah.
Ringkasnya, garis panduan menuntut bahawa pihak berkuasa sijil mengesahkan organisasi yang meminta sijil didaftarkan secara rasmi, bahawa ia memiliki domain yang bersangkutan, dan orang yang meminta sijil itu bertindak bagi pihak organisasi. Ini melibatkan memeriksa rekod kerajaan, menghubungi pemilik domain, dan menghubungi organisasi untuk mengesahkan bahawa orang yang meminta sijil berfungsi untuk organisasi.
Sebaliknya, pengesahan sijil hanya domain mungkin hanya melibatkan sekilas catatan rekod domain untuk mengesahkan bahawa pendaftar menggunakan maklumat yang sama. Pengeluaran sijil untuk domain seperti "localhost" menyiratkan bahawa beberapa pihak berkuasa sijil tidak melakukan pengesahan yang begitu banyak. Sijil-sijil EV pada asasnya adalah percubaan untuk memulihkan amanah orang ramai di pihak berkuasa perakuan dan memulihkan peranan mereka sebagai pengawal menentang penipu.