วิธีที่เบราว์เซอร์ตรวจสอบตัวตนของเว็บไซต์และป้องกันผู้นำเข้า
คุณเคยสังเกตไหมว่าบางครั้งเบราว์เซอร์ของคุณจะแสดงชื่อองค์กรของเว็บไซต์บนเว็บไซต์ที่เข้ารหัส? นี่เป็นสัญญาณว่าเว็บไซต์มีใบรับรองการตรวจสอบเพิ่มเติมที่ระบุว่าตัวตนของเว็บไซต์ได้รับการยืนยันแล้ว.
ใบรับรอง EV ไม่ได้ให้ความแข็งแกร่งในการเข้ารหัสเพิ่มเติม แต่อย่างใดใบรับรอง EV บ่งชี้ว่ามีการยืนยันตัวตนของเว็บไซต์อย่างกว้างขวาง ใบรับรอง SSL มาตรฐานให้การยืนยันตัวตนของเว็บไซต์น้อยมาก.
วิธีที่เบราว์เซอร์แสดงใบรับรองการตรวจสอบเพิ่มเติม
ในเว็บไซต์เข้ารหัสที่ไม่ได้ใช้ใบรับรองการตรวจสอบเพิ่มเติม Firefox บอกว่าเว็บไซต์นั้น“ ดำเนินการโดย (ไม่ทราบ)”
Chrome ไม่แสดงอะไรที่แตกต่างและบอกว่าข้อมูลประจำตัวของเว็บไซต์ได้รับการยืนยันโดยผู้ออกใบรับรองที่ออกใบรับรองของเว็บไซต์.
เมื่อคุณเชื่อมต่อกับเว็บไซต์ที่ใช้ใบรับรองการตรวจสอบเพิ่มเติม Firefox จะบอกคุณว่ามันทำงานโดยองค์กรที่เฉพาะเจาะจง ตามที่ไดอะล็อกนี้ VeriSign ยืนยันว่าเราเชื่อมต่อกับเว็บไซต์ PayPal จริงซึ่งดำเนินการโดย PayPal, Inc.
เมื่อคุณเชื่อมต่อกับไซต์ที่ใช้ใบรับรอง EV ใน Chrome ชื่อขององค์กรจะปรากฏในแถบที่อยู่ของคุณ กล่องโต้ตอบข้อมูลบอกเราว่าข้อมูลประจำตัวของ PayPal ได้รับการยืนยันโดย VeriSign โดยใช้ใบรับรองการตรวจสอบเพิ่มเติม.
ปัญหาเกี่ยวกับใบรับรอง SSL
ปีที่ผ่านมาผู้ออกใบรับรองใช้ในการตรวจสอบตัวตนของเว็บไซต์ก่อนที่จะออกใบรับรอง ผู้ออกใบรับรองจะตรวจสอบว่าธุรกิจที่ขอใบรับรองได้รับการลงทะเบียนโทรไปยังหมายเลขโทรศัพท์และตรวจสอบว่าธุรกิจนั้นเป็นการดำเนินการที่ถูกต้องตามกฎหมายซึ่งตรงกับเว็บไซต์.
ในที่สุดหน่วยงานออกใบรับรองเริ่มเสนอใบรับรองแบบ "โดเมนเท่านั้น" สิ่งเหล่านี้มีราคาถูกลงเพราะทำงานน้อยกว่าสำหรับผู้ออกใบรับรองเพื่อตรวจสอบอย่างรวดเร็วว่าผู้ร้องขอเป็นเจ้าของโดเมนเฉพาะ (เว็บไซต์).
ฟิชเชอร์ในที่สุดก็เริ่มใช้ประโยชน์จากสิ่งนี้ ฟิชเชอร์สามารถลงทะเบียนโดเมน paypall.com และซื้อใบรับรองสำหรับโดเมนเท่านั้น เมื่อผู้ใช้เชื่อมต่อกับ paypall.com เบราว์เซอร์ของผู้ใช้จะแสดงไอคอนล็อคมาตรฐานซึ่งให้ความปลอดภัยที่ผิดพลาด เบราว์เซอร์ไม่ได้แสดงความแตกต่างระหว่างใบรับรองเฉพาะโดเมนและใบรับรองที่เกี่ยวข้องกับการตรวจสอบตัวตนของเว็บไซต์อย่างละเอียดมากขึ้น.
ความไว้วางใจสาธารณะในหน่วยงานผู้ออกใบรับรองเพื่อตรวจสอบเว็บไซต์ได้ลดลง - นี่เป็นเพียงตัวอย่างหนึ่งของผู้ออกใบรับรองที่ไม่สามารถทำหน้าที่ตรวจสอบสถานะได้ ในปี 2011 Electronic Frontier Foundation พบว่าผู้ออกใบรับรองได้ออกใบรับรองมากกว่า 2,000 ใบสำหรับ“ localhost” - ชื่อที่มักจะอ้างถึงคอมพิวเตอร์ปัจจุบันของคุณ (แหล่งที่มา) ในทางที่ผิดใบรับรองดังกล่าวสามารถทำให้การโจมตีแบบคนกลางได้ง่ายขึ้น.
ใบรับรองการตรวจสอบความถูกต้องแบบขยายต่างกันอย่างไร
ใบรับรอง EV บ่งชี้ว่าผู้ออกใบรับรองได้ตรวจสอบแล้วว่าเว็บไซต์นั้นดำเนินการโดยองค์กรที่เฉพาะเจาะจง ตัวอย่างเช่นหากฟิชเชอร์พยายามรับใบรับรอง EV สำหรับ paypall.com คำขอจะถูกปิด.
ต่างจากใบรับรอง SSL มาตรฐานเฉพาะผู้ออกใบรับรองที่ผ่านการตรวจสอบอิสระเท่านั้นที่ได้รับอนุญาตให้ออกใบรับรอง EV The Certification Authority / Browser Forum (CA / Browser Forum) ซึ่งเป็นองค์กรอาสาสมัครของหน่วยงานออกใบรับรองและผู้จำหน่ายเบราว์เซอร์เช่น Mozilla, Google, Apple และ Microsoft ออกแนวทางที่เข้มงวดซึ่งผู้ออกใบรับรองทุกราย สิ่งนี้จะช่วยป้องกันไม่ให้หน่วยงานผู้ออกใบรับรองมีส่วนร่วมใน“ การแข่งขันไปสู่จุดต่ำสุด” ซึ่งพวกเขาใช้แนวทางการตรวจสอบแบบหละหลวมในการเสนอใบรับรองราคาถูกกว่า.
ในระยะสั้นแนวทางต้องการให้หน่วยงานออกใบรับรองรับรองว่าองค์กรที่ขอใบรับรองนั้นมีการลงทะเบียนอย่างเป็นทางการว่าเป็นเจ้าของโดเมนที่มีปัญหาและบุคคลที่ขอใบรับรองทำหน้าที่แทนองค์กร สิ่งนี้เกี่ยวข้องกับการตรวจสอบบันทึกของรัฐบาลติดต่อเจ้าของโดเมนและติดต่อองค์กรเพื่อตรวจสอบว่าบุคคลที่ขอใบรับรองทำงานให้กับองค์กรหรือไม่.
ในทางตรงกันข้ามการตรวจสอบใบรับรองเฉพาะโดเมนเท่านั้นอาจเกี่ยวข้องกับการบันทึกข้อมูล whois ของโดเมนเพื่อตรวจสอบว่าผู้ลงทะเบียนใช้ข้อมูลเดียวกัน การออกใบรับรองสำหรับโดเมนเช่น“ localhost” หมายความว่าผู้ออกใบรับรองบางรายไม่ได้ทำการตรวจสอบมากนัก โดยพื้นฐานแล้วใบรับรอง EV เป็นความพยายามที่จะเรียกคืนความไว้วางใจสาธารณะในหน่วยงานออกใบรับรองและเรียกคืนบทบาทของพวกเขาในฐานะผู้รักษาประตูต่อผู้กระตุ้น.