sv.phhsnews.com


sv.phhsnews.com / Hur webbläsare verifierar webbplatsidentiteter och skyddar mot imposter

Hur webbläsare verifierar webbplatsidentiteter och skyddar mot imposter


Har du någonsin märkt att din webbläsare ibland visar en webbplatsens organisationsnamn på en krypterad webbplats? Detta är ett tecken på att webbplatsen har ett utökat valideringscertifikat, vilket indikerar att webbplatsens identitet har verifierats.

EV-certifikat ger ingen ytterligare krypteringsstyrka - i stället indikerar ett EV-certifikat att omfattande verifiering av webbplatsens identitet har tagit plats. Standard SSL-certifikat ger mycket liten verifiering av en webbplatss identitet.

Så här visar webbläsare utökat valideringscertifikat

På en krypterad webbplats som inte använder ett förlängt valideringscertifikat, säger Firefox att webbplatsen är "körd av (okänd) . "

Chrome visar inte något annorlunda och säger att webbplatsens identitet verifierades av certifikatutfärdaren som utfärdade webbplatsens certifikat.

När du är ansluten till en webbplats som använder ett förlängt valideringscertifikat, berättar Firefox du drivs av en viss organisation. Enligt denna dialog har VeriSign verifierat att vi är anslutna till den verkliga PayPal-webbplatsen, som drivs av PayPal, Inc.

När du är ansluten till en webbplats som använder ett EV-certifikat i Chrome visas organisationens namn i adressfältet. Informationsdialogen berättar att PayPal-identiteten har verifierats av VeriSign med ett utökat valideringscertifikat.

Problemet med SSL-certifikat

År sedan godkände certifikatmyndigheterna att verifiera en webbplatss identitet innan de utfärdade ett certifikat. Certifikatutfärdaren skulle kontrollera att verksamheten som begärde certifikatet var registrerad, ring telefonnumret och verifiera att verksamheten var en legitim transaktion som matchade webbplatsen.

Slutligen började certifikatmyndigheterna erbjuda "domän endast" -certifikat. Dessa var billigare, eftersom det var mindre arbete för certifikatmyndigheten att snabbt kontrollera att beställaren ägde en specifik domän (webbplats).

Phishers började så småningom dra nytta av detta. En phisher kunde registrera domänen paypall.com och köpa ett domän-enbart certifikat. När en användare ansluten till paypall.com skulle användarens webbläsare visa standardlåsikonen, vilket ger en falsk känsla av säkerhet. Webbläsare visade inte skillnaden mellan ett domänbevis och ett certifikat som innebar en mer omfattande verifiering av webbplatsens identitet.

Offentlig förtroende för certifikatmyndigheterna att verifiera webbplatser har fallit - det här är bara ett exempel på att certifikatmyndigheterna misslyckas gör sin due diligence. Under 2011 fann Electronic Frontier Foundation att certifikatmyndigheterna hade utfärdat över 2000 certifikat för "localhost" - ett namn som alltid refererar till din nuvarande dator. (Källa) I fela händer kan ett sådant certifikat göra det lättare att göra man-i-mitten attacker.

Hur Extended Validation Certificates är olika

Ett EV-certifikat anger att en certifikatmyndighet har verifierat att webbplatsen körs av en viss organisation. Till exempel, om en phisher försökte få ett EV-certifikat för paypall.com, skulle begäran bli avslagen.

Till skillnad från vanliga SSL-certifikat får endast certifikatmyndigheter som skickar en oberoende granskning utfärda EV-certifikat. Certifieringsmyndigheten / Webbläsarforumet (CA / Browser Forum), en frivillig organisation av certifieringsmyndigheter och webbläsare som Mozilla, Google, Apple och Microsoft utfärdar strikta riktlinjer för att alla certifikatmyndigheter som utfärdar förlängda valideringscertifikat måste följa. Detta förhindrar idealiskt certifikatmyndigheterna att delta i en annan "ras till botten", där de använder sig av laxbekräftelsepraxis för att erbjuda billigare certifikat.

Kortfattat kräver riktlinjerna att certifikatmyndigheterna verifierar att den organisation som begär certifikatet är officiellt registrerad, att den äger den aktuella domänen och att den som begär certifikatet agerar på organisationens vägnar. Det här gäller att kontrollera regeringsrekord, kontakta domänens ägare och kontakta organisationen för att verifiera att den person som begär certifikatet arbetar för organisationen.

Däremot kan en domän endast certifiering verifiering bara innebära en blick på domänen som registrerar sig för att verifiera att registranten använder samma information. Utgivning av certifikat för domäner som "localhost" innebär att vissa certifikatmyndigheter inte ens gör så mycket kontroll. EV-certifikat är i grunden ett försök att återställa allmänhetens förtroende för certifikatmyndigheterna och återställa sin roll som gatekeepers mot imposters.


Så här avbryter du Google Play Musik och andra abonnemang på Android App

Så här avbryter du Google Play Musik och andra abonnemang på Android App

Android tillåter att du kan prenumerera på appar och tjänster, inklusive Googles eget Google Play Musik, via Google Play. Om du prenumererar på en app debiterar Google automatiskt din sparade betalningsmetod tills du avbryter prenumerationen. Du kan avbryta prenumerationer antingen via Google Play Android-appen eller via Google Play-webbplatsen.

(how-to)

Hur man korrekt installerar återställnings- och säkerhetskopieringsalternativ för tvåstegs verifiering

Hur man korrekt installerar återställnings- och säkerhetskopieringsalternativ för tvåstegs verifiering

Jag har alltid varit en stor förespråkare för tvåstegs verifiering och det verkar idag att du verkligen behöver använda den. Titta bara på det senaste Apple-säkerhetshålet som gjorde det möjligt för människor att återställa ditt Apple ID-lösenord med bara din e-postadress och DOB. Om du hade aktiverat tvåstegsverifiering på ditt konto skulle du inte behöva oroa dig för det här problemet.Även om tvåstegsver

(How-to)