Anasayfa » nasıl » Tarayıcılar Web Sitesi Kimliklerini Nasıl Doğrular ve Sahtekarlara Karşı Nasıl Korurlar?

    Tarayıcılar Web Sitesi Kimliklerini Nasıl Doğrular ve Sahtekarlara Karşı Nasıl Korurlar?

    Tarayıcınızın bazen bir web sitesinin organizasyon adını şifreli bir web sitesinde gösterdiğini fark ettiniz mi? Bu, web sitesinin kimliğinin doğrulandığını belirten web sitesinin genişletilmiş bir doğrulama sertifikasına sahip olduğunun bir işaretidir..

    EV sertifikaları herhangi bir ek şifreleme gücü sağlamaz - bunun yerine, bir EV sertifikası web sitesinin kimliğinin kapsamlı bir doğrulamasının gerçekleştiğini belirtir. Standart SSL sertifikaları, bir web sitesinin kimliğinin çok az doğrulanmasını sağlar.

    Tarayıcılar Genişletilmiş Doğrulama Sertifikalarını Nasıl Gösterir?

    Genişletilmiş bir doğrulama sertifikası kullanmayan şifreli bir web sitesinde, Firefox web sitesinin “tarafından işletilen (bilinmeyen)” olduğunu söylüyor.

    Chrome farklı bir şey göstermiyor ve web sitesinin kimliğini web sitesinin sertifikasını veren sertifika yetkilisi tarafından doğrulandığını söylüyor.

    Genişletilmiş bir doğrulama sertifikası kullanan bir web sitesine bağlandığınızda, Firefox size belirli bir kuruluş tarafından çalıştırıldığını söyler. Bu diyaloga göre, VeriSign, PayPal, Inc tarafından işletilen gerçek PayPal web sitesine bağlı olduğumuzu doğruladı..

    Chrome'da bir EV sertifikası kullanan bir siteye bağlandığınızda, kuruluşun adı adres çubuğunuzda görünür. Bilgi iletişim kutusu, PayPal'ın kimliğinin VeriSign tarafından genişletilmiş bir doğrulama sertifikası kullanarak doğrulandığını söylüyor.

    SSL Sertifikalarıyla İlgili Sorun

    Yıllar önce, sertifika yetkilileri bir sertifika vermeden önce bir web sitesinin kimliğini doğrulamak için kullanılır. Sertifika yetkilisi, sertifikayı isteyen işletmenin kayıtlı olduğunu kontrol eder, telefon numarasını arar ve işletmenin web sitesine uyan meşru bir işlem olduğunu doğrular..

    Sonunda, sertifika yetkilileri “yalnızca etki alanı” sertifikaları sunmaya başladı. Sertifika otoritesinin istek sahibinin belirli bir alana (web sitesine) sahip olup olmadığını hızlıca kontrol etmesi daha az işe yaradığı için bunlar daha ucuzdu..

    Phishing'lar sonunda bundan yararlanmaya başladı. Bir phisher paypall.com alan adını kaydedebilir ve sadece alan adı sertifikası alabilir. Bir kullanıcı paypall.com'a bağlandığında, kullanıcının tarayıcısı yanlış bir güvenlik hissi sağlayan standart kilit simgesini görüntüler. Tarayıcılar, yalnızca etki alanı sertifikası ile web sitesinin kimliğinin daha kapsamlı doğrulamasını içeren bir sertifika arasındaki farkı göstermedi.

    Web sitelerinin web sitelerinin doğrulandığını doğrulamak için sertifika yetkililerine olan güvenleri düştü - bu durum, özenlerini yerine getiremeyen sertifika yetkililerinin sadece bir örneği. 2011'de Electronic Frontier Foundation, sertifika yetkililerinin her zaman şu anki bilgisayarınıza atıfta bulunan bir ad olan “localhost” için 2000'den fazla sertifika verdiğini tespit etti. (Kaynak) Yanlış ellerde böyle bir sertifika, ortadaki adam saldırılarını kolaylaştırabilir.

    Genişletilmiş Doğrulama Sertifikaları Ne Kadar Farklıdır?

    EV sertifikası, bir sertifika yetkilisinin web sitesinin belirli bir kuruluş tarafından işletildiğini doğruladığını gösterir. Örneğin, bir phishing paypall.com için bir EV sertifikası almaya çalıştığında, istek reddedilir.

    Standart SSL sertifikalarından farklı olarak, yalnızca bağımsız bir denetimden geçen sertifika yetkililerinin EV sertifikaları vermesine izin verilir. Sertifika yetkilileri / Tarayıcı Forumu (CA / Tarayıcı Forumu), sertifika yetkilileri ve Mozilla, Google, Apple ve Microsoft gibi tarayıcı satıcılarının gönüllü bir kuruluşu olan genişletilmiş doğrulama sertifikaları veren tüm sertifika yetkililerinin uyması gereken sıkı kurallar çıkarır. Bu ideal olarak sertifika yetkililerinin daha ucuz sertifikalar sunmak için gevşek doğrulama uygulamaları kullandıkları başka bir "aşağıdan aşağıya" girmelerini önler.

    Kısaca, kurallar, sertifika yetkililerinin sertifika isteyen kuruluşun resmi olarak tescilli olduğunu, söz konusu alana sahip olduğunu ve sertifika isteyen kişinin kuruluş adına hareket ettiğini doğrulamasını talep eder. Bu, devlet kayıtlarını kontrol etmeyi, alanın sahibini aramayı ve sertifika isteyen kişinin kuruluş için çalıştığını doğrulamak için kuruluşla iletişime geçmeyi içerir..

    Buna karşılık, yalnızca etki alanı içeren bir sertifika doğrulaması yalnızca tescil ettirenin aynı bilgileri kullandığını doğrulamak için alanın whois kayıtlarına bir bakış içerebilir. “Localhost” gibi alanlar için sertifika verilmesi, bazı sertifika yetkililerinin bu kadar doğrulama yapmadıklarını gösterir. EV sertifikaları, temel olarak, sertifika yetkililerine halkın güvenini sağlama ve emperyalistlere karşı kapı bekçileri olarak rollerini geri alma girişimidir..