Trang chủ » làm thế nào để » Cách trình duyệt xác minh danh tính trang web và bảo vệ chống kẻ mạo danh

    Cách trình duyệt xác minh danh tính trang web và bảo vệ chống kẻ mạo danh

    Bạn đã bao giờ nhận thấy rằng trình duyệt của bạn đôi khi hiển thị tên tổ chức của một trang web trên một trang web được mã hóa? Đây là dấu hiệu cho thấy trang web có chứng nhận xác thực mở rộng, cho biết danh tính của trang web đã được xác minh.

    Chứng chỉ EV không cung cấp bất kỳ cường độ mã hóa bổ sung nào - thay vào đó, chứng chỉ EV cho biết rằng đã xác minh rộng rãi danh tính của trang web. Chứng chỉ SSL tiêu chuẩn cung cấp rất ít xác minh danh tính của trang web.

    Cách trình duyệt hiển thị chứng chỉ xác thực mở rộng

    Trên một trang web được mã hóa không sử dụng chứng chỉ xác thực mở rộng, Firefox nói rằng trang web này được điều hành bởi (không xác định).

    Chrome không hiển thị bất cứ điều gì khác biệt và nói rằng danh tính của trang web đã được xác minh bởi cơ quan cấp chứng chỉ đã cấp chứng chỉ của trang web.

    Khi bạn được kết nối với một trang web sử dụng chứng chỉ xác thực mở rộng, Firefox sẽ cho bạn biết nó được điều hành bởi một tổ chức cụ thể. Theo hộp thoại này, VeriSign đã xác minh rằng chúng tôi đã kết nối với trang web PayPal thực sự do PayPal, Inc điều hành.

    Khi bạn được kết nối với một trang web sử dụng chứng chỉ EV trong Chrome, tên của tổ chức sẽ xuất hiện trên thanh địa chỉ của bạn. Hộp thoại thông tin cho chúng tôi biết rằng danh tính của PayPal đã được VeriSign xác minh bằng chứng chỉ xác thực mở rộng.

    Vấn đề với chứng chỉ SSL

    Nhiều năm trước, các cơ quan chứng nhận đã sử dụng để xác minh danh tính của trang web trước khi cấp chứng chỉ. Cơ quan cấp chứng chỉ sẽ kiểm tra xem doanh nghiệp yêu cầu chứng chỉ đã được đăng ký chưa, gọi số điện thoại và xác minh rằng doanh nghiệp là hoạt động hợp pháp phù hợp với trang web.

    Cuối cùng, các cơ quan cấp chứng chỉ đã bắt đầu cung cấp các chứng chỉ chỉ có tên miền tên lửa. Những thứ này rẻ hơn, vì cơ quan cấp chứng chỉ phải làm việc nhanh hơn để kiểm tra xem người yêu cầu có sở hữu một tên miền cụ thể (trang web) không.

    Những kẻ lừa đảo cuối cùng đã bắt đầu lợi dụng điều này. Một kẻ lừa đảo có thể đăng ký tên miền paypall.com và mua chứng chỉ chỉ tên miền. Khi người dùng kết nối với paypall.com, trình duyệt của người dùng sẽ hiển thị biểu tượng khóa tiêu chuẩn, mang lại cảm giác an toàn sai lầm. Các trình duyệt không hiển thị sự khác biệt giữa chứng chỉ chỉ tên miền và chứng chỉ liên quan đến xác minh rộng hơn về danh tính của trang web.

    Sự tin tưởng của công chúng vào các cơ quan cấp chứng chỉ để xác minh các trang web đã giảm - đây chỉ là một ví dụ về các cơ quan cấp chứng chỉ không thực hiện được sự chuyên cần của họ. Vào năm 2011, Tổ chức Electronic Frontier Foundation đã phát hiện ra rằng các cơ quan cấp chứng chỉ đã cấp hơn 2000 chứng chỉ cho loại localhost trực tuyến - một cái tên luôn đề cập đến máy tính hiện tại của bạn. (Nguồn) Trong tay sai, một chứng chỉ như vậy có thể làm cho các cuộc tấn công giữa chừng dễ dàng hơn.

    Chứng chỉ xác nhận mở rộng khác nhau như thế nào

    Chứng chỉ EV chỉ ra rằng cơ quan cấp chứng chỉ đã xác minh rằng trang web được điều hành bởi một tổ chức cụ thể. Ví dụ: nếu một kẻ lừa đảo đã cố lấy chứng chỉ EV cho paypall.com, yêu cầu sẽ bị từ chối.

    Không giống như chứng chỉ SSL tiêu chuẩn, chỉ các cơ quan cấp chứng chỉ vượt qua kiểm toán độc lập mới được phép cấp chứng chỉ EV. Tổ chức chứng nhận / Diễn đàn trình duyệt (CA / Diễn đàn trình duyệt), một tổ chức tự nguyện của các cơ quan chứng nhận và nhà cung cấp trình duyệt như Mozilla, Google, Apple và Microsoft ban hành các hướng dẫn nghiêm ngặt mà tất cả các cơ quan cấp chứng chỉ cấp chứng nhận xác thực mở rộng phải tuân theo. Điều này lý tưởng ngăn các cơ quan cấp chứng chỉ tham gia vào một cuộc đua khác ở phía dưới, đó là nơi họ sử dụng các thực tiễn xác minh lỏng lẻo để cung cấp các chứng chỉ rẻ hơn.

    Nói tóm lại, các hướng dẫn yêu cầu các cơ quan cấp chứng chỉ xác minh tổ chức yêu cầu chứng chỉ được đăng ký chính thức, rằng nó sở hữu tên miền được đề cập và người yêu cầu chứng chỉ đang hành động thay mặt cho tổ chức. Điều này liên quan đến việc kiểm tra hồ sơ chính phủ, liên hệ với chủ sở hữu tên miền và liên hệ với tổ chức để xác minh rằng người yêu cầu chứng chỉ làm việc cho tổ chức.

    Ngược lại, xác minh chứng chỉ chỉ tên miền có thể chỉ liên quan đến việc xem qua hồ sơ whois của tên miền để xác minh rằng người đăng ký đang sử dụng cùng một thông tin. Việc cấp chứng chỉ cho các tên miền như khu vực nội địa trực tuyến, ngụ ý rằng một số cơ quan cấp chứng chỉ thậm chí không thực hiện nhiều xác minh đó. Chứng chỉ EV về cơ bản là một nỗ lực để khôi phục niềm tin của công chúng vào các cơ quan cấp chứng chỉ và khôi phục vai trò của họ như những người gác cổng chống lại kẻ mạo danh.