كيف تتحقق المتصفحات الهويات الموقع وحماية ضد الدعاة
هل لاحظت في بعض الأحيان أن المتصفح يعرض أحيانًا اسم المؤسسة لموقع الويب على موقع ويب مشفر؟ هذه علامة على أن موقع الويب يحتوي على شهادة مصادقة موسعة ، تشير إلى أنه تم التحقق من هوية موقع الويب.
لا تقدم شهادات EV أي قوة تشفير إضافية - وبدلاً من ذلك ، تشير شهادة EV إلى أن التحقق الشامل من هوية موقع الويب قد تم. توفر شهادات SSL القياسية تحققًا ضئيلاً للغاية من هوية موقع الويب.
كيفية عرض المستعرضات شهادات التحقق من الصحة الموسعة
على موقع ويب مشفر لا يستخدم شهادة توثيق موسعة ، يقول Firefox أن موقع الويب "يتم تشغيله بواسطة (غير معروف)."
لا يعرض Chrome أي شيء بشكل مختلف ويقول إنه تم التحقق من هوية موقع الويب من قِبل المرجع المصدق الذي أصدر شهادة موقع الويب.
عندما تكون متصلاً بموقع ويب يستخدم شهادة مصادقة موسعة ، يخبرك Firefox أنه يتم تشغيله بواسطة مؤسسة معينة. وفقًا لمربع الحوار هذا ، أثبت VeriSign أننا متصلون بموقع PayPal الحقيقي ، الذي يتم تشغيله بواسطة PayPal، Inc.
عندما تكون متصلاً بموقع يستخدم شهادة EV في Chrome ، يظهر اسم المؤسسة في شريط العناوين. يخبرنا مربع حوار المعلومات أن VeriSign قد تم التحقق من هوية PayPal باستخدام شهادة التحقق من الصحة الممتدة.
المشكلة مع شهادات SSL
قبل سنوات ، اعتادت سلطات التصديق التحقق من هوية موقع الويب قبل إصدار الشهادة. سيتحقق المرجع المصدق من تسجيل النشاط التجاري الذي يطلب الشهادة ، واستدعاء رقم الهاتف ، والتحقق من أن النشاط التجاري كان عملية قانونية مطابقة لموقع الويب.
في نهاية المطاف ، بدأت سلطات التصديق بتقديم شهادات "النطاق فقط". كانت هذه أرخص ، لأنها كانت أقل عمل لسلطة التصديق للتحقق بسرعة من أن مقدم الطلب يمتلك نطاقًا محددًا (موقع ويب).
في نهاية المطاف بدأ المحتالون بالاستفادة من هذا. يستطيع المخادع تسجيل النطاق paypall.com وشراء شهادة المجال فقط. عندما يتصل مستخدم بـ paypall.com ، سيعرض متصفح المستخدم رمز القفل القياسي ، مما يوفر إحساسًا زائفًا بالأمان. لم تعرض المتصفحات الاختلاف بين شهادة المجال فقط وشهادة تضمنت مزيدًا من التحقق الشامل من هوية موقع الويب.
انخفضت ثقة الجمهور في المراجع المصدقة للتحقق من مواقع الويب - وهذا مجرد مثال واحد على فشل سلطات الشهادة في القيام بالعناية الواجبة. في عام 2011 ، وجدت مؤسسة Electronic Frontier Foundation أن سلطات إصدار الشهادات قد أصدرت أكثر من 2000 شهادة لـ "localhost" - وهو اسم يشير دائمًا إلى جهاز الكمبيوتر الحالي. (المصدر) في الأيدي الخطأ ، يمكن لهذه الشهادة أن تجعل هجمات الرجل في الوسط أكثر سهولة.
كيف تختلف شهادات التحقق من الصحة
تشير شهادة EV إلى أن المرجع المصدق قد تحقق من تشغيل موقع الويب بواسطة مؤسسة معينة. على سبيل المثال ، إذا حاول أحد المخاطبين الحصول على شهادة EV للبائع paypall.com ، فسيتم رفض الطلب.
بخلاف شهادات SSL القياسية ، يُسمح فقط لمراجع الشهادات التي تجتاز تدقيقًا مستقلاً بإصدار شهادات EV. يصدر "المرجع المصدق" / منتدى المستعرض (CA / Browser Forum) ، وهو منظمة تطوعية لجهات إصدار الشهادات وبائعي المستعرض مثل Mozilla و Google و Apple و Microsoft ، إرشادات صارمة يجب على جميع المراجع المصدقة التي تصدرها شهادات التحقق الموسعة اتباعها. ويمنع هذا بشكل مثالي سلطات الشهادة من الانخراط في "سباق آخر إلى الأسفل" آخر ، حيث تستخدم ممارسات التحقق التراخي لتقديم شهادات أرخص.
باختصار ، تتطلب الإرشادات أن تتحقق سلطات التصديق من أن المنظمة التي تطلب الشهادة مسجلة رسميًا ، وأنها تمتلك النطاق المعني ، وأن الشخص الذي يطلب الشهادة يعمل نيابةً عن المنظمة. ويشمل ذلك فحص السجلات الحكومية ، والاتصال بمالك النطاق ، والاتصال بالمؤسسة للتحقق من أن الشخص الذي يطلب الشهادة يعمل لصالح المؤسسة.
في المقابل ، قد يتضمن التحقق من شهادة المجال فقط إلقاء نظرة خاطفة على سجلات whois الخاصة بالنطاق للتحقق من أن صاحب التسجيل يستخدم نفس المعلومات. يشير إصدار شهادات لنطاقات مثل "localhost" إلى أن بعض المراجع المصدقة لا تقوم بذلك كثيرًا من التحقق. شهادات EV هي ، في الأساس ، محاولة لاستعادة ثقة الجمهور في سلطات التصديق واستعادة دورها كحماة البوابات ضد المحتالين.