كما تعلم على الأرجح ، لا يوجد نقص في شبكة الإنترنت لمجرمي الإنترنت لسرقة أموالك و / أو هويتك. ربما تكون قد حصلت على طعم بنفسك - قبل أكثر من عام بقليل كان علي التعامل مع فاتورة تزيد عن 700 دولار لهاتف ذكي تم طلبه باسمي! ما قد ليس تعرف كيف أنه من السهل إنشاء موقع ويب واقعي وهمي لجمع كلمات المرور وأرقام بطاقات الائتمان وغيرها من المعلومات الحساسة من الضحايا المطمئنين. غالبًا ما يتم إنشاء مواقع ويب مثل هذه كجزء من التصيد المخططات - إذا قمت بالنقر فوق ارتباط في بريد إلكتروني احتيالي يدعي أنه من منظمة شرعية مثل شركة أو مدرسة ، فسيتم نقلك إلى صفحة تسجيل دخول مزيفة حيث يأمل المخادعون أن تتخلى عن التفاصيل المثيرة.
وهنا الجزء المخيف: حوالي ثلاثة أرباع جميع مواقع التصيد الاحتيالي لديها الآن SSL /TLS شهادة! وفقًا لمجموعة عمل مكافحة التصيد الاحتيالي تقرير اتجاهات نشاط التصيد للربع الرابع من عام 4 ، 74% من مواقع التصيد الاحتيالي تستخدم HTTPS. إنه مجاني وسهل للمهاجمين إعداد شهادة DV على موقع ويب احتيالي ، وسيسعدك متصفح الويب الخاص بك بمعرفة أنه "آمن". سيقترح Google Chrome أيضًا أنه رائع جدا، عمل متقن لإدخال كلمة المرور أو رقم بطاقة الائتمان الخاصة بك:
بالتأكيد ، اتصالك "خاص" ، طالما أنك لا تمانع في أن يكون الأمر كله بينك وبين بعض المخادعين في الحياة المنخفضة على الطرف الآخر. أصبحت إساءة استخدام DV HTTPS المجانية سيئة للغاية لدرجة أن مكتب التحقيقات الفيدرالي أصدر ملف إعلان الخدمة العامة في 10 يونيو 2019 التي تنص على: "لا تثق في موقع ويب لمجرد أنه يحتوي على رمز قفل أو" https "في شريط عنوان المتصفح." A دراسة تفصيلية لعام 2019 يردد فينسنت دروري وأولريك ماير من جامعة RWTH Aachen ، مواقع التصيد على مواقع HTTPS ، هذا الاستنتاج: "نصيحة المستخدم البسيطة للتحقق مما إذا كان موقع الويب محميًا ببروتوكول HTTPS لم تعد فعالة ضد التصيد الاحتيالي."
على الرغم من هذه المشاكل الخطيرة ، انتقلت معظم متصفحات الويب الرئيسية مؤخرًا بعيدا من عرض معلومات تم التحقق من صحتها حول مالكي مواقع الويب في شريط عناوين المتصفح للمواقع المحمية بشهادات التحقق من الصحة الموسعة (EV). ألغت معظم المتصفحات أيضًا واجهة مستخدم "الشريط الأخضر" التي أشارت سابقًا إلى موقع ويب محمي بواسطة EV. نتيجة لذلك ، ابتعدت بعض الشركات والمؤسسات الأخرى عن شهادات EV وهي تحمي مواقعها الإلكترونية بشهادات رخيصة (أو مجانية) مصدق عليها من النطاق (DV).
توفر شهادة موقع الويب DV للمستخدمين درجة من الحماية من خلال التأكد من تشفير الاتصال وأن الكيان الذي يشغل الموقع يتحكم في اسم المجال عند تقديمه للشهادة ، لكنه لا يوفر أي ضمان لمن يمتلك ويدير الموقع بالفعل. فقط شهادة EV أو OV (التحقق من صحة المؤسسة) المصدق عليها من CA هي التي توفر هذه المعلومات.
فيما يلي كيفية التحقق من هذه المتصفحات الشائعة لمعرفة ما إذا كان مالك موقع الويب قد بذل جهدًا إضافيًا لحماية زوار الموقع وإبلاغهم باستخدام شهادات EV أو OV:
لتلخيص المعلومات الموضحة أدناه ، إنترنت إكسبلورر يقوم حاليًا بأفضل وظيفة في توصيل معلومات EV للمستخدمين. سفاري لا يزال يستخدم واجهة مستخدم "الشريط الأخضر" لإبلاغ المستخدمين بحالة EV ، ولكن لا يزال الأمر يتطلب نقرة لتحديد مالك الموقع. الكروم, برنامج فايرفوكسو حافة لا تقدم أي مؤشرات EV في شريط العنوان ، وتطلب من المستخدمين البحث عن أي معلومات تم التحقق من صحتها عن مالك موقع الويب. يعد Chrome لنظام macOS سيئًا بشكل خاص ، حيث يتطلب ثلاث نقرات لعرض هذه المعلومات (أو حتى تحديد ما إذا كانت موجودة).
جوجل كروم
تم عمل لقطات الشاشة هذه في Chrome 80.0.3987.149 على Windows 10 Enterprise الإصدار 1809.
1. يعرض Google Chrome قفلًا مغلقًا بلون رمادي غامق على يسار عنوان URL لجميع SSL /TLS الشهادات (DV و OV و EV):
2. للحصول على مزيد من المعلومات حول شهادة موقع ويب ، انقر فوق القفل.
3. يوضح Chrome أن الاتصال آمن (مشفر) ، ويمكننا أن نرى أنه تم إصدار الشهادة لشركة SSL Corp. يمكنك الحصول على معلومات أكثر تفصيلاً بالنقر فوق الشهادة.
4. في النافذة التي تفتح ، يمكنك عرض تفاصيل حول مالك الموقع عن طريق تحديد الموضوع خط على التفاصيل التبويب. (ملحوظة: في نظام macOS ، يتم عرض هذه المعلومات بتنسيق مختلف مشابه سفاري.)
موزيلا فايرفوكس
تم عمل لقطات الشاشة هذه في Firefox 73.0.1 على macOS 10.14.6 (Mojave).
1. يعرض Firefox قفلًا باللون الرمادي الداكن على يسار عنوان URL لجميع SSL /TLS الشهادات (DV و OV و EV).
2. للحصول على مزيد من المعلومات حول شهادة موقع ويب ، انقر فوق القفل.
3. الآن يمكننا أن نرى أن شهادة الموقع قد تم إصدارها لشركة SSL Corp:
4. يمكنك حفر لمزيد من المعلومات بالضغط على > الرمز على الجانب الأيمن من مربع الحوار.
5. الآن يمكننا أن نرى أن SSL Corp تقع في هيوستن ، تكساس.
6. إذا كنت ترغب في رؤية معلومات أكثر تفصيلاً ، انقر فوق مزيد من المعلومات.
7. سيتم فتح صفحة تحتوي على معلومات كاملة عن الشهادة وسلسلة الثقة. تظهر معلومات حول مالك الموقع تحت اسم الموضوع عنوان.
مايكروسوفت الحافة
تم عمل لقطات الشاشة هذه في Edge 80.0.361.66 (Chromium) على Windows 10 Enterprise الإصدار 1809.
1. يعرض Edge مخطط القفل المغلق على يسار عنوان URL لجميع SSL /TLS الشهادات (DV و OV و EV):
2. للحصول على مزيد من المعلومات حول شهادة موقع ويب ، انقر فوق القفل.
3. تُظهر Edge أن الاتصال آمن (مشفر) ، ويمكننا أن نرى أنه تم إصدار الشهادة لشركة SSL Corp. يمكنك الحصول على معلومات أكثر تفصيلاً بالنقر فوق الشهادة.
4. في النافذة التي تفتح ، يمكنك عرض تفاصيل حول مالك الموقع عن طريق تحديد الموضوع خط على التفاصيل علامة التبويب.
إنترنت إكسبلورر
تم عمل لقطات الشاشة هذه في Internet Explorer 11.11098.11763.0 على Windows 10 Enterprise الإصدار 1809.
1. بالنسبة لمواقع EV ، يعرض Internet Explorer شريط العناوين بخلفية خضراء. يظهر قفل مغلق واسم مالك الموقع على اليمين.
2. بالنسبة لمواقع DV و OV ، يعرض IE قفلًا وليس اسم الشركة والخلفية الخضراء:
3. لعرض معلومات حول شهادة الموقع ، انقر فوق القفل.
4. هنا يمكننا أن نرى أن الموقع يتم تشغيله بواسطة SSL Corp ، في هيوستن ، تكساس.
5. لعرض مزيد من المعلومات حول شهادة موقع الويب ، انقر فوق عرض الشهادات.
4. في النافذة التي تفتح ، يمكنك عرض تفاصيل حول مالك الموقع عن طريق تحديد الموضوع خط على التفاصيل علامة التبويب.
أبل سفاري
تم عمل لقطات الشاشة هذه في Safari 13.0.5 على macOS 10.14.6 (Mojave).
1. بالنسبة لمواقع EV ، يعرض Safari قفلًا أخضر واسم المجال:
2. بالنسبة لمواقع DV و OV ، يعرض Safari قفلًا رماديًا ونصًا أسود:
3. لعرض معلومات حول شهادة الموقع ، انقر فوق القفل:
4. بالنسبة لمواقع EV ، سيتم عرض معلومات حول مالك الموقع:
5. يمكنك الحصول على مزيد من المعلومات عن طريق النقر فوق إظهار الشهادة الزر:
6. يمكنك هنا الحصول على معلومات تفصيلية حول شهادة الموقع وسلسلة الثقة الكاملة التي تؤدي إلى المرجع المصدق الجذر (في هذه الحالة ، SSL.com).
7. يمكنك عرض تفاصيل الشهادة بالنقر على المثلث الموجود على يسار التفاصيل.
8. يمكنك الاطلاع على معلومات تفصيلية حول صاحب الموقع تحت اسم الموضوع عنوان.
