Jak již pravděpodobně víte, web nemá dostatek kybernetických zločinců, kteří by ukradli vaše peníze a / nebo identitu. Možná jste se sami chutnali - před více než rokem jsem se musel vypořádat s účtem přes 700 dolarů za smartphone objednaný v mém jménu! Co byste mohli ne vědět je, jak snadné je vytvořit realistický, falešný web pro shromažďování hesel, čísel kreditních karet a dalších citlivých informací od netušících obětí. Webové stránky, jako je tento, jsou často vytvářeny jako součást Phishing schémata - pokud kliknete na odkaz v podvodném e-mailu, který tvrdí, že pochází od legitimní organizace, jako je firma nebo škola, dostanete se na falešnou přihlašovací stránku, kde podvodníci doufají, že se vzdáte šťavnatých podrobností.
A tady je ta děsivá část: Asi tři čtvrtiny všech phishingových webů nyní mají SSL /TLS certifikát! Podle pracovní skupiny Anti-Phishing Přehled trendů phishingové aktivity za 4. čtvrtletí 2019, 74% phishingových webů používá HTTPS. Útočníci mohou zdarma a snadno nastavit certifikát DV na podvodném webu a váš webový prohlížeč vám s radostí oznámí, že je „bezpečný“. Google Chrome to dokonce navrhne naprosto v pořádku zadejte své heslo nebo číslo kreditní karty:
Jistě, vaše spojení je „soukromé“, pokud vám nevadí, že by to mohlo být všechno jen mezi vámi a nějakým podvodníkem s nízkým životem na druhém konci. Zneužívání bezplatného DV HTTPS se stalo tak špatným, že FBI vydala a oznámení veřejných služeb 10. června 2019 se uvádí, "Nedůvěřujte webovým stránkám jen proto, že mají v adresním řádku prohlížeče ikonu zámku nebo 'https'." A podrobná studie 2019 webů phishingu HTTPS, Vincent Drury a Ulrike Meyer z RWTH Aachen University, opakuje tento závěr: „Jednoduchá uživatelská rada ke kontrole, zda je web chráněn pomocí protokolu HTTPS, již proti phishingu není účinná.“
Přes tyto vážné problémy se většina hlavních webových prohlížečů nedávno přestěhovala pryč od zobrazování ověřených informací o majitelích webových stránek v adresním řádku prohlížeče u webů chráněných certifikáty Extended Validation (EV). Většina prohlížečů také vyloučila uživatelské rozhraní „zeleného pruhu“, které dříve označovalo web chráněný EV. V důsledku toho se některé podniky a další organizace vzdálily od certifikátů EV a chrání své webové stránky levnými (nebo bezplatnými) certifikáty ověřenými doménami (DV).
Certifikát webové stránky DV nabízí uživatelům určitou úroveň ochrany tím, že zajišťuje šifrování komunikace a to, že entita provozující web ovládala název domény, když se přihlásila k certifikátu, neposkytuje však žádnou záruku o tom, kdo web skutečně vlastní a provozuje. Tyto informace poskytuje pouze certifikát EV nebo OV (Ověření organizace) ověřený CA.
Tady je způsob, jak můžete zkontrolovat v těchto populárních prohlížečích a zjistit, zda vlastník webových stránek vyvinul zvláštní úsilí na ochranu a informování návštěvníků stránek pomocí certifikátů EV nebo OV:
Abychom shrnuli níže uvedené informace, Internet Explorer v současné době dělá nejlepší práci při sdělování informací o EV uživatelům. Safari stále používá uživatelské rozhraní „zelené lišty“ ke sdělování stavu EV uživatelům, ale k identifikaci vlastníka stránky je stále potřeba kliknutí. chróm, Firefox, a Hrana v řádku adresy nepředstavují žádné indikátory EV a vyžadují, aby uživatelé kopali jakékoli ověřené informace o vlastníkovi webu. Chrome pro macOS je obzvláště špatný, k zobrazení těchto informací (nebo dokonce k určení, zda existují) je potřeba tři kliknutí.
Google Chrome
Tyto snímky obrazovky byly vytvořeny v prohlížeči Chrome 80.0.3987.149 v systému Windows 10 Enterprise verze 1809.
1. Google Chrome zobrazuje uzavřený tmavě šedý zámek nalevo od adresy URL pro všechny SSL /TLS certifikáty (DV, OV a EV):
2. Chcete-li získat více informací o certifikátu webu, klikněte na zámek.
3. Chrome ukazuje, že připojení je zabezpečené (šifrované) a vidíme, že certifikát byl vydán společnosti SSL Corp. Podrobnější informace získáte kliknutím na Osvědčení.
4. V okně, které se otevře, si můžete zobrazit podrobnosti o vlastníkovi webu výběrem Předmět linka na Detaily záložka. (Poznámka: V systému MacOS jsou tyto informace zobrazeny v jiném formátu, který je podobný Safari.)
Mozilla Firefox
Tyto snímky obrazovky byly vytvořeny v prohlížeči Firefox 73.0.1 v systému MacOS 10.14.6 (Mojave).
1. Firefox zobrazuje tmavě šedý zámek nalevo od adresy URL pro všechny SSL /TLS certifikáty (DV, OV a EV).
2. Chcete-li získat více informací o certifikátu webu, klikněte na zámek.
3. Nyní vidíme, že certifikát webu byl vydán společnosti SSL Corp:
4. Další informace můžete kopat kliknutím na > symbol na pravé straně dialogového okna.
5. Nyní můžeme vidět, že SSL Corp se nachází v Houstonu v Texasu.
6. Chcete-li zobrazit podrobnější informace, klikněte na Další informace.
7. Otevře se stránka s úplnými informacemi o certifikátu a řetězci důvěryhodnosti. Informace o vlastníkovi webu jsou zobrazeny pod Název subjektu nadpis.
Microsoft hran
Tyto snímky obrazovky byly vytvořeny v Edge 80.0.361.66 (Chromium) v systému Windows 10 Enterprise verze 1809.
1. Edge zobrazí obrys uzavřeného zámku nalevo od adresy URL pro všechny SSL /TLS certifikáty (DV, OV a EV):
2. Chcete-li získat více informací o certifikátu webu, klikněte na zámek.
3. Edge ukazuje, že připojení je zabezpečené (šifrované) a vidíme, že certifikát byl vydán společnosti SSL Corp. Podrobnější informace získáte kliknutím na Osvědčení.
4. V okně, které se otevře, si můžete zobrazit podrobnosti o vlastníkovi webu výběrem Předmět linka na Detaily Karta.
Internet Explorer
Tyto snímky obrazovky byly vytvořeny v aplikaci Internet Explorer 11.11098.11763.0 v systému Windows 10 Enterprise verze 1809.
1. U webových stránek EV zobrazí Internet Explorer adresní řádek se zeleným pozadím. Vpravo je zobrazen uzavřený zámek a jméno vlastníka webu.
2. U webových stránek DV a OV IE zobrazuje zámek, ale nikoli název společnosti a zelené pozadí:
3. Chcete-li zobrazit informace o certifikátu webové stránky, klepněte na zámek.
4. Zde vidíme, že web provozuje společnost SSL Corp, Houston, Texas.
5. Chcete-li zobrazit další informace o certifikátu webové stránky, klikněte na Zobrazit certifikáty.
4. V okně, které se otevře, si můžete zobrazit podrobnosti o vlastníkovi webu výběrem Předmět linka na Detaily Karta.
Apple Safari
Tyto snímky obrazovky byly vytvořeny v prohlížeči Safari 13.0.5 v systému MacOS 10.14.6 (Mojave).
1. U webových stránek EV zobrazuje Safari zelený zámek a název domény:
2. U webových stránek DV a OV zobrazuje Safari šedý zámek a černý text:
3. Chcete-li zobrazit informace o certifikátu webové stránky, klepněte na zámek:
4. U webových stránek EV se zobrazí informace o vlastníkovi webových stránek:
5. Další informace získáte kliknutím na Zobrazit certifikát Tlačítko:
6. Zde můžete získat podrobné informace o certifikátu webové stránky a o celém řetězci důvěry, který vede ke kořenovému certifikačnímu úřadu (v tomto případě SSL.com).
7. Kliknutím na trojúhelník nalevo od můžete zobrazit podrobnosti o certifikátu Detaily.
8. Můžete vidět podrobné informace o vlastníkovi webu v rámci Název subjektu nadpis.
