Πώς οι Browsers Επιβεβαιώνουν τις Ταυτότητες Ιστοσελίδας και Προστατεύουν τους Imposters
Έχετε παρατηρήσει ποτέ ότι το πρόγραμμα περιήγησής σας εμφανίζει μερικές φορές ένα όνομα οργανισμού ενός ιστότοπου σε έναν κρυπτογραφημένο ιστότοπο; Αυτό αποτελεί ένδειξη ότι ο ιστότοπος διαθέτει εκτεταμένο πιστοποιητικό επικύρωσης, υποδεικνύοντας ότι η ταυτότητα του ιστοτόπου έχει επαληθευτεί.
Τα πιστοποιητικά EV δεν παρέχουν πρόσθετη ισχύ κρυπτογράφησης - αντί αυτού, ένα πιστοποιητικό EV υποδεικνύει ότι έχει πραγματοποιηθεί εκτεταμένη επαλήθευση της ταυτότητας του ιστότοπου. Τα τυπικά πιστοποιητικά SSL παρέχουν ελάχιστη επαλήθευση της ταυτότητας ενός ιστοτόπου.
Πώς τα προγράμματα περιήγησης εμφανίζουν τα πιστοποιητικά εκτεταμένης επικύρωσης
Σε έναν κρυπτογραφημένο ιστότοπο που δεν χρησιμοποιεί εκτεταμένο πιστοποιητικό επικύρωσης, ο Firefox λέει ότι ο ιστότοπος "εκτελείται από (άγνωστο)".
Το Chrome δεν εμφανίζει τίποτα διαφορετικό και λέει ότι η ταυτότητα του ιστότοπου επαληθεύτηκε από την αρχή έκδοσης πιστοποιητικών που εξέδωσε το πιστοποιητικό του ιστότοπου.
Όταν είστε συνδεδεμένοι σε έναν ιστότοπο που χρησιμοποιεί ένα εκτεταμένο πιστοποιητικό επικύρωσης, ο Firefox σας ενημερώνει ότι εκτελείται από έναν συγκεκριμένο οργανισμό. Σύμφωνα με αυτό το διάλογο, η VeriSign έχει επαληθεύσει ότι είμαστε συνδεδεμένοι με τον πραγματικό ιστότοπο PayPal, τον οποίο διαχειρίζεται η PayPal, Inc.
Όταν είστε συνδεδεμένοι σε έναν ιστότοπο που χρησιμοποιεί πιστοποιητικό EV στο Chrome, το όνομα του οργανισμού εμφανίζεται στη γραμμή διευθύνσεών σας. Ο διάλογος πληροφοριών μας λέει ότι η ταυτότητα του PayPal έχει επαληθευτεί από το VeriSign χρησιμοποιώντας ένα εκτεταμένο πιστοποιητικό επικύρωσης.
Το πρόβλημα με τα πιστοποιητικά SSL
Πριν από χρόνια, οι αρχές πιστοποιητικών χρησιμοποίησαν για να επαληθεύσουν την ταυτότητα ενός ιστότοπου προτού εκδώσουν ένα πιστοποιητικό. Η αρχή πιστοποίησης θα ελέγχει ότι η επιχείρηση που ζήτησε το πιστοποιητικό έχει καταχωρηθεί, καλέστε τον αριθμό τηλεφώνου και βεβαιωθείτε ότι η επιχείρηση ήταν νόμιμη πράξη που ταιριάζει με τον ιστότοπο.
Τελικά, οι αρχές πιστοποίησης άρχισαν να προσφέρουν πιστοποιητικά "μόνο για τομέα". Αυτά ήταν φθηνότερα, καθώς ήταν λιγότερη εργασία για την αρχή πιστοποίησης να ελέγχει γρήγορα ότι ο αιτών διέθετε έναν συγκεκριμένο τομέα (ιστότοπο).
Ο Phishers άρχισε τελικά να επωφελείται από αυτό. Ένας phisher θα μπορούσε να καταχωρήσει το domain paypall.com και να αγοράσει ένα πιστοποιητικό μόνο για το domain. Όταν ένας χρήστης συνδεθεί με το paypall.com, το πρόγραμμα περιήγησης του χρήστη θα εμφανίσει το πρότυπο εικονίδιο κλειδώματος, παρέχοντας μια ψευδή αίσθηση ασφάλειας. Τα προγράμματα περιήγησης δεν εμφάνισαν τη διαφορά μεταξύ ενός πιστοποιητικού που βασίζεται αποκλειστικά σε τομέα και ενός πιστοποιητικού που περιελάμβανε εκτενέστερη επαλήθευση της ταυτότητας του ιστοτόπου.
Η εμπιστοσύνη του κοινού στις αρχές πιστοποίησης για την επαλήθευση ιστότοπων έχει μειωθεί - αυτό είναι μόνο ένα παράδειγμα των αρχών που εκδίδουν πιστοποιητικά που δεν επιδεικνύουν τη δέουσα επιμέλεια. Το 2011, το Electronic Frontier Foundation διαπίστωσε ότι οι αρχές έκδοσης πιστοποιητικών είχαν εκδώσει περισσότερα από 2000 πιστοποιητικά για το "localhost" - ένα όνομα που αναφέρεται πάντα στον τρέχοντα υπολογιστή σας. (Πηγή) Σε λάθος χέρια, ένα τέτοιο πιστοποιητικό θα μπορούσε να καταστήσει ευκολότερη την επίθεση από τον άνθρωπο στη μέση.
Πόσο διαφέρουν τα πιστοποιητικά εκτεταμένης επικύρωσης
Ένα πιστοποιητικό EV δηλώνει ότι μια αρχή πιστοποίησης έχει επαληθεύσει ότι ο ιστότοπος εκτελείται από έναν συγκεκριμένο οργανισμό. Για παράδειγμα, αν ένας phisher προσπάθησε να πάρει ένα πιστοποιητικό EV για το paypall.com, το αίτημα θα απορριφθεί.
Σε αντίθεση με τα τυπικά πιστοποιητικά SSL, επιτρέπεται να εκδίδουν πιστοποιητικά EV μόνον οι αρχές πιστοποίησης που διενεργούν ανεξάρτητο έλεγχο. Η Αρχή Πιστοποίησης / Φόρουμ προγράμματος περιήγησης (CA / Φόρουμ προγράμματος περιήγησης), μια εθελοντική οργάνωση αρχών πιστοποίησης και προμηθευτών προγραμμάτων περιήγησης, όπως το Mozilla, η Google, η Apple και η Microsoft, εκδίδουν αυστηρές οδηγίες ότι πρέπει να ακολουθούν όλες οι αρχές πιστοποίησης που εκδίδουν εκτεταμένα πιστοποιητικά επικύρωσης. Αυτό αποτρέπεται ιδανικά από τις αρχές πιστοποίησης να συμμετέχουν σε μια άλλη "κούρσα προς τα κάτω", όπου χρησιμοποιούν χαλαρές πρακτικές επαλήθευσης για να προσφέρουν φθηνότερα πιστοποιητικά.
Εν ολίγοις, οι οδηγίες απαιτούν από τις αρχές πιστοποίησης να επαληθεύσουν ότι ο οργανισμός που ζητεί το πιστοποιητικό είναι επίσημα εγγεγραμμένος, ότι κατέχει τον εν λόγω τομέα και ότι το άτομο που ζητεί το πιστοποιητικό ενεργεί εξ ονόματος του οργανισμού. Αυτό περιλαμβάνει τον έλεγχο των κυβερνητικών αρχείων, την επαφή με τον ιδιοκτήτη του τομέα και την επικοινωνία με τον οργανισμό για να επαληθεύσει ότι το άτομο που ζητεί το πιστοποιητικό εργάζεται για τον οργανισμό.
Αντίθετα, μια επαλήθευση πιστοποιητικού μόνο για τον τομέα μπορεί να περιλαμβάνει μόνο μια ματιά στα αρχεία του Whois του τομέα, προκειμένου να εξακριβωθεί ότι ο καταχωρίζων χρησιμοποιεί τις ίδιες πληροφορίες. Η έκδοση πιστοποιητικών για τομείς όπως "localhost" σημαίνει ότι κάποιες αρχές πιστοποιητικών δεν κάνουν καν τόσο μεγάλη επαλήθευση. Τα πιστοποιητικά EV είναι, ουσιαστικά, μια προσπάθεια να αποκατασταθεί η εμπιστοσύνη του κοινού στις αρχές πιστοποίησης και να αποκατασταθεί ο ρόλος τους ως gatekeepers ενάντια στους απατεώνες.