Como os navegadores verificam as identidades do site e protegem contra impostores

Índice:

Como os navegadores verificam as identidades do site e protegem contra impostores
Como os navegadores verificam as identidades do site e protegem contra impostores

Vídeo: Como os navegadores verificam as identidades do site e protegem contra impostores

Vídeo: Como os navegadores verificam as identidades do site e protegem contra impostores
Vídeo: Cookies // Dicionário do Programador - YouTube 2024, Novembro
Anonim
Você já notou que o seu navegador exibe, às vezes, o nome da organização de um website em um site criptografado? Este é um sinal de que o website possui um certificado de validação estendida, indicando que a identidade do website foi verificada.
Você já notou que o seu navegador exibe, às vezes, o nome da organização de um website em um site criptografado? Este é um sinal de que o website possui um certificado de validação estendida, indicando que a identidade do website foi verificada.

Os certificados de EV não fornecem nenhum nível adicional de criptografia. Em vez disso, um certificado EV indica que a verificação extensiva da identidade do site ocorreu. Os certificados SSL padrão fornecem muito pouca verificação da identidade de um website.

Como os navegadores exibem certificados de validação estendidos

Em um site criptografado que não usa um certificado de validação estendida, o Firefox diz que o site é "executado por (desconhecido)".

O Chrome não exibe nada de diferente e diz que a identidade do site foi verificada pela autoridade de certificação que emitiu o certificado do site.
O Chrome não exibe nada de diferente e diz que a identidade do site foi verificada pela autoridade de certificação que emitiu o certificado do site.
Quando você está conectado a um website que usa um certificado de validação estendida, o Firefox informa que ele é executado por uma organização específica. De acordo com essa caixa de diálogo, a VeriSign confirmou que estamos conectados ao site real do PayPal, administrado pela PayPal, Inc.
Quando você está conectado a um website que usa um certificado de validação estendida, o Firefox informa que ele é executado por uma organização específica. De acordo com essa caixa de diálogo, a VeriSign confirmou que estamos conectados ao site real do PayPal, administrado pela PayPal, Inc.
Quando você está conectado a um site que usa um certificado EV no Chrome, o nome da organização aparece na sua barra de endereço. A caixa de diálogo de informações informa que a identidade do PayPal foi verificada pela VeriSign usando um certificado de validação estendida.
Quando você está conectado a um site que usa um certificado EV no Chrome, o nome da organização aparece na sua barra de endereço. A caixa de diálogo de informações informa que a identidade do PayPal foi verificada pela VeriSign usando um certificado de validação estendida.
Image
Image

O problema com certificados SSL

Há anos, as autoridades de certificação costumavam verificar a identidade de um website antes de emitir um certificado. A autoridade de certificação verificaria se a empresa que solicitou o certificado estava registrada, ligaria para o número de telefone e verificaria se a empresa era uma operação legítima que correspondia ao site.

Por fim, as autoridades de certificação começaram a oferecer certificados "somente de domínio". Estes eram mais baratos, pois era menos trabalho para a autoridade de certificação verificar rapidamente se o solicitante possuía um domínio específico (site).

Os phishers eventualmente começaram a tirar proveito disso. Um phisher pode registrar o domínio paypall.com e comprar um certificado somente de domínio. Quando um usuário se conecta ao paypall.com, o navegador do usuário exibe o ícone de bloqueio padrão, fornecendo uma falsa sensação de segurança. Os navegadores não exibiram a diferença entre um certificado somente de domínio e um certificado que envolvia uma verificação mais abrangente da identidade do site.

A confiança do público em autoridades de certificação para verificar a queda de sites - este é apenas um exemplo de autoridades de certificação que não cumprem sua devida diligência. Em 2011, a Electronic Frontier Foundation descobriu que as autoridades de certificação emitiram mais de 2000 certificados para “localhost” - um nome que sempre se refere ao seu computador atual. (Fonte) Nas mãos erradas, tal certificado poderia tornar os ataques man-in-the-middle mais fáceis.

Image
Image

Como certificados de validação estendidos são diferentes

Um certificado EV indica que uma autoridade de certificação verificou se o site é executado por uma organização específica. Por exemplo, se um phisher tentasse obter um certificado EV para paypall.com, o pedido seria recusado.

Ao contrário dos certificados SSL padrão, somente as autoridades de certificação que passam por uma auditoria independente têm permissão para emitir certificados EV. A Autoridade de Certificação / Fórum do Navegador (CA / Browser Forum), uma organização voluntária de autoridades de certificação e fornecedores de navegadores como Mozilla, Google, Apple e Microsoft, emitem diretrizes rígidas que todas as autoridades de certificação que emitem certificados de validação estendidos devem seguir. Isso idealmente impede que as autoridades de certificação se engajem em outra "corrida para o fundo", onde usam práticas de verificação negligentes para oferecer certificados mais baratos.

Em resumo, as diretrizes exigem que as autoridades certificadoras verifiquem se a organização que está solicitando o certificado está oficialmente registrada, se é o proprietário do domínio em questão e se a pessoa que está solicitando o certificado está agindo em nome da organização. Isso envolve a verificação de registros do governo, o contato com o proprietário do domínio e o contato com a organização para verificar se a pessoa que está solicitando o certificado trabalha para a organização.

Por outro lado, uma verificação de certificado somente de domínio pode envolver apenas uma olhada nos registros whois do domínio para verificar se o registrante está usando as mesmas informações. A emissão de certificados para domínios como "localhost" implica que algumas autoridades de certificação não estão realizando muita verificação. Os certificados EV são, fundamentalmente, uma tentativa de restaurar a confiança pública nas autoridades de certificação e restaurar sua função como gatekeepers contra impostores.

Recomendado: