Wie Sie wahrscheinlich bereits wissen, mangelt es im Internet nicht an Cyberkriminellen, die Ihr Geld und / oder Ihre Identität stehlen. Vielleicht haben Sie selbst einen Vorgeschmack bekommen - vor etwas mehr als einem Jahr musste ich mich mit einer Rechnung von über 700 US-Dollar für ein in meinem Namen bestelltes Smartphone auseinandersetzen! Was du könntest nicht Es ist bekannt, wie einfach es ist, eine realistische, gefälschte Website zu erstellen, auf der Passwörter, Kreditkartennummern und andere vertrauliche Informationen von ahnungslosen Opfern gesammelt werden. Websites wie diese werden häufig als Teil von eingerichtet Phishing Schemata - Wenn Sie in einer Betrugs-E-Mail auf einen Link klicken, der angeblich von einer legitimen Organisation wie einem Unternehmen oder einer Schule stammt, werden Sie zu einer falschen Anmeldeseite weitergeleitet, auf der die Betrüger hoffen, dass Sie die wichtigen Details preisgeben.
Und hier ist der beängstigende Teil: Etwa drei Viertel aller Phishing-Websites verfügen inzwischen über SSL /TLS zertifiziert! Laut der Anti-Phishing-Arbeitsgruppe Bericht über Trends bei Phishing-Aktivitäten für das 4. Quartal 2019, 74% von Phishing-Websites verwenden HTTPS. Es ist für Angreifer kostenlos und einfach, ein DV-Zertifikat auf einer Betrugswebsite einzurichten, und Ihr Webbrowser teilt Ihnen gerne mit, dass es "sicher" ist. Google Chrome wird sogar vorschlagen, dass dies der Fall ist vollkommen in Ordnung So geben Sie Ihr Passwort oder Ihre Kreditkartennummer ein:
Sicher, Ihre Verbindung ist "privat", solange Sie nichts dagegen haben, dass alles nur zwischen Ihnen und einem Betrüger mit niedrigem Lebensstandard am anderen Ende besteht. Der Missbrauch von kostenlosem DV-HTTPS ist so schlimm geworden, dass das FBI eine Mitteilung des öffentlichen Dienstes am 10. Juni 2019 heißt es: "Vertrauen Sie einer Website nicht, nur weil sie ein Schlosssymbol oder 'https' in der Adressleiste des Browsers hat." A detaillierte Studie 2019 von HTTPS-Phishing-Websites von Vincent Drury und Ulrike Meyer von der RWTH Aachen bestätigen diese Schlussfolgerung: "Die einfache Empfehlung des Benutzers, zu überprüfen, ob eine Website HTTPS-geschützt ist, ist gegen Phishing nicht mehr wirksam."
Trotz dieser schwerwiegenden Probleme sind die meisten großen Webbrowser kürzlich umgezogen ein Weg Anzeigen validierter Informationen zu Website-Eigentümern in der Adressleiste des Browsers für Websites, die mit EV-Zertifikaten (Extended Validation) geschützt sind. Die meisten Browser haben auch die "grüne Leiste" entfernt, die zuvor auf eine EV-geschützte Website hinwies. Infolgedessen haben sich einige Unternehmen und andere Organisationen von EV-Zertifikaten entfernt und schützen ihre Websites mit billigen (oder kostenlosen) Domain Validated (DV) -Zertifikaten.
Ein DV-Website-Zertifikat bietet Benutzern ein gewisses Maß an Schutz, indem sichergestellt wird, dass die Kommunikation verschlüsselt ist und dass die Entität, die die Site ausführt, den Domänennamen bei der Beantragung des Zertifikats kontrolliert hat. Es gibt jedoch keine Garantie dafür, wer die Website tatsächlich besitzt und betreibt. Diese Informationen werden nur von einem CA-validierten EV- oder OV-Zertifikat (Organization Validation) bereitgestellt.
So können Sie in diesen beliebten Browsern überprüfen, ob ein Websitebesitzer zusätzliche Anstrengungen unternommen hat, um Website-Besucher mithilfe von EV- oder OV-Zertifikaten zu schützen und zu informieren:
Um die unten gezeigten Informationen zusammenzufassen: Internet Explorer Derzeit werden die EV-Informationen am besten an die Benutzer übermittelt. Safari verwendet immer noch die Benutzeroberfläche mit dem grünen Balken, um den Benutzern den EV-Status mitzuteilen, aber es ist immer noch ein Klick erforderlich, um den Eigentümer der Site zu identifizieren. Chrome, Firefox und Marktumfeld Zeigen Sie keine EV-Indikatoren in der Adressleiste an und fordern Sie die Benutzer auf, nach validierten Informationen über den Eigentümer einer Website zu suchen. Chrome für macOS ist besonders schlecht, da drei Klicks erforderlich sind, um diese Informationen anzuzeigen (oder sogar festzustellen, ob sie vorhanden sind).
Google Chrome
Diese Screenshots wurden in Chrome 80.0.3987.149 unter Windows 10 Enterprise Version 1809 erstellt.
1. Google Chrome zeigt links neben der URL eine geschlossene, dunkelgraue Sperre für alle SSL / an.TLS Zertifikate (DV, OV und EV):
2. Um weitere Informationen zum Zertifikat einer Website zu erhalten, klicken Sie auf die Sperre.
3. Chrome zeigt an, dass die Verbindung sicher (verschlüsselt) ist und wir sehen, dass das Zertifikat an SSL Corp. ausgestellt wurde. Weitere Informationen erhalten Sie, indem Sie auf klicken Zertifikat.
4. Im folgenden Fenster können Sie Details zum Website-Eigentümer anzeigen, indem Sie die Option auswählen Thema Linie auf der Details Tab. (Hinweis: In macOS werden diese Informationen in einem anderen Format angezeigt, das dem ähnelt Safari.)
Mozilla Firefox
Diese Screenshots wurden in Firefox 73.0.1 unter macOS 10.14.6 (Mojave) erstellt.
1. Firefox zeigt links von der URL eine dunkelgraue Sperre für alle SSL / anTLS Zertifikate (DV, OV und EV).
2. Um weitere Informationen zum Zertifikat einer Website zu erhalten, klicken Sie auf die Sperre.
3. Jetzt können wir sehen, dass das Zertifikat der Website an SSL Corp ausgestellt wurde:
4. Sie können nach weiteren Informationen suchen, indem Sie auf klicken > Symbol auf der rechten Seite des Dialogfelds.
5. Jetzt können wir sehen, dass sich SSL Corp in Houston, Texas befindet.
6. Wenn Sie detailliertere Informationen anzeigen möchten, klicken Sie auf Mehr Informationen.
7. Eine Seite mit vollständigen Informationen zum Zertifikat und zur Vertrauenskette wird geöffnet. Informationen zum Website-Inhaber finden Sie unter Subjekt Name Überschrift.
Microsoft Edge
Diese Screenshots wurden in Edge 80.0.361.66 (Chromium) unter Windows 10 Enterprise Version 1809 erstellt.
1. Edge zeigt den Umriss einer geschlossenen Sperre links von der URL für alle SSL / an.TLS Zertifikate (DV, OV und EV):
2. Um weitere Informationen zum Zertifikat einer Website zu erhalten, klicken Sie auf die Sperre.
3. Edge zeigt an, dass die Verbindung sicher (verschlüsselt) ist, und wir können sehen, dass das Zertifikat an SSL Corp. ausgestellt wurde. Weitere Informationen erhalten Sie, indem Sie auf klicken Zertifikat.
4. Im folgenden Fenster können Sie Details zum Website-Eigentümer anzeigen, indem Sie die Option auswählen Thema Linie auf der Details Tab.
Internet Explorer
Diese Screenshots wurden in Internet Explorer 11.11098.11763.0 unter Windows 10 Enterprise Version 1809 erstellt.
1. Bei EV-Websites zeigt Internet Explorer die Adressleiste mit einem grünen Hintergrund an. Ein geschlossenes Schloss und der Name des Websitebesitzers werden rechts angezeigt.
2. Bei DV- und OV-Websites zeigt der IE eine Sperre an, jedoch nicht den Firmennamen und den grünen Hintergrund:
3. Um Informationen zum Website-Zertifikat anzuzeigen, klicken Sie auf die Sperre.
4. Hier können wir sehen, dass die Site von SSL Corp, Houston, Texas, betrieben wird.
5. Um weitere Informationen zum Website-Zertifikat anzuzeigen, klicken Sie auf Zertifikate anzeigen.
4. Im folgenden Fenster können Sie Details zum Website-Eigentümer anzeigen, indem Sie die Option auswählen Thema Linie auf der Details Tab.
Apple Safari
Diese Screenshots wurden in Safari 13.0.5 unter macOS 10.14.6 (Mojave) erstellt.
1. Für EV-Websites zeigt Safari ein grünes Schloss und einen Domainnamen an:
2. Für DV- und OV-Websites zeigt Safari ein graues Schloss und schwarzen Text an:
3. Um Informationen zum Website-Zertifikat anzuzeigen, klicken Sie auf die Sperre:
4. Bei EV-Websites werden Informationen zum Websitebesitzer angezeigt:
5. Weitere Informationen erhalten Sie, indem Sie auf klicken Zertifikat anzeigen Button:
6. Hier erhalten Sie detaillierte Informationen zum Website-Zertifikat und zur gesamten Vertrauenskette, die zur Stammzertifizierungsstelle führt (in diesem Fall SSL.com).
7. Sie können Details zum Zertifikat anzeigen, indem Sie auf das Dreieck links neben klicken Details.
8. Detaillierte Informationen zum Websitebesitzer finden Sie unter Subjekt Name Überschrift.