如何浏览器验证网站身份和防止假冒者

image

您是否注意到您的浏览器有时在加密的网站上显示网站的组织名称? 这是一个标志,网站有一个扩展的验证证书,指示网站的身份已验证。

EV证书不提供任何额外的加密强度 - 相反,EV证书表示已对网站的身份进行了广泛的验证。 标准SSL证书提供的网站身份验证非常少。

浏览器如何显示扩展验证证书

在不使用扩展验证证书的加密网站上,Firefox表示该网站是“由(未知)运行”。

image

Chrome不会显示任何不同的内容,并表示网站的身份已由颁发网站证书的证书颁发机构验证。

image

当您连接到使用扩展验证证书的网站时,Firefox会告诉您该网站由特定组织运行。 根据这个对话框,VeriSign验证了我们连接到由PayPal公司运营的真正的PayPal网站

image

当您连接到在Chrome中使用EV证书的网站时,该机构的名称会显示在您的地址栏中。 信息对话框告诉我们,PayPal的身份已被VeriSign使用扩展验证证书验证。

image

SSL证书的问题

多年前,证书颁发机构在颁发证书之前用来验证网站的身份。 证书颁发机构将检查请求证书的业务是否已注册,调用电话号码,并验证该业务是与网站匹配的合法操作。

最终,证书颁发机构开始提供“仅域”证书。 这些是更便宜的,因为它是更少的工作,证书机构快速检查请求者拥有一个特定的域(网站)。

钓鱼者最终开始利用这一点。 钓鱼者可以注册域paypall.com并购买域名证书。 当用户连接到paypall.com时,用户的浏览器将显示标准锁定图标,从而提供虚假的安全感。 浏览器没有显示仅域证书和涉及更广泛验证网站身份的证书之间的区别。

在证书机构中验证网站的公众信任已经下降 - 这只是证书当局未能做到尽职调查的一个例子。 2011年,电子前沿基金会发现,证书颁发机构已经为“localhost”颁发了超过2000个证书,这个名称总是指您当前的计算机。 来源 )落入坏人之手,这种证书可以使人在这方面的中间人攻击更容易。

image

扩展验证证书的不同之处

EV证书表示证书颁发机构已验证该网站由特定组织运行。 例如,如果网络钓鱼者尝试获取paypall.com的EV证书,则请求将被拒绝。

与标准SSL证书不同,只有通过独立审核的证书颁发机构才能颁发EV证书。 证书颁发机构/浏览器论坛(CA /浏览器论坛),认证机构和浏览器厂商如Mozilla,谷歌,苹果和微软的问题的一个志愿组织严格的准则 ,所有的证书颁发机构颁发的扩展验证证书必须遵循。 这理想地防止证书当局参与另一个“竞争到底部”,他们使用松懈的验证做法提供更便宜的证书。

简而言之,指南要求证书机构验证申请证书的组织是否正式注册,拥有相关域名,请求证书的人员代表组织行事。 这包括检查政府记录,联系域所有者以及联系组织以验证申请证书的人是否为组织工作。

相比之下,仅域名证书验证可能只需要浏览域的whois记录,以验证注册人是否使用相同的信息。 为域名(如“localhost”)颁发证书意味着一些证书颁发机构甚至没有进行那么多的验证。 EV证书基本上是试图恢复公共对证书机构的信任,并恢复其作为对欺骗者的守门人的角色。

image

赞 (0)
分享到:更多 ()