Όπως ίσως γνωρίζετε ήδη, ο ιστός δεν έχει έλλειψη εγκληματιών στον κυβερνοχώρο για να κλέψει τα χρήματά σας ή / και την ταυτότητά σας. Ίσως να έχετε πάρει μια γεύση μόνοι σας - πριν από λίγο περισσότερο από ένα χρόνο έπρεπε να ασχοληθώ με ένα λογαριασμό άνω των 700 $ για ένα smartphone που παραγγέλθηκε στο όνομά μου! Τι μπορείς δεν Το πόσο εύκολο είναι να δημιουργήσετε έναν ρεαλιστικό, ψεύτικο ιστότοπο για τη συλλογή κωδικών πρόσβασης, αριθμών πιστωτικών καρτών και άλλων ευαίσθητων πληροφοριών από ανυποψίαστα θύματα. Ιστοσελίδες όπως αυτό συχνά δημιουργούνται ως μέρος Phishing σχήματα - εάν κάνετε κλικ σε έναν σύνδεσμο σε ένα ηλεκτρονικό μήνυμα απάτης που ισχυρίζεται ότι προέρχεται από έναν νόμιμο οργανισμό όπως μια επιχείρηση ή ένα σχολείο, θα μεταφερθείτε σε μια πλαστή σελίδα σύνδεσης, όπου οι απατεώνες ελπίζουν ότι θα παραιτηθείτε από τις ζουμερές λεπτομέρειες.
Και εδώ είναι το τρομακτικό μέρος: Περίπου τα τρία τέταρτα όλων των ιστότοπων ηλεκτρονικού ψαρέματος διαθέτουν πλέον SSL /TLS πιστοποιητικό! Σύμφωνα με την Ομάδα Εργασίας Anti-Phishing Αναφορά τάσεων δραστηριότητας ηλεκτρονικού ψαρέματος για το 4ο τρίμηνο του 2019, 74% των ιστότοπων ηλεκτρονικού ψαρέματος χρησιμοποιούν HTTPS. Είναι δωρεάν και εύκολο για τους εισβολείς να δημιουργήσουν ένα πιστοποιητικό DV σε έναν ιστότοπο απάτης και το πρόγραμμα περιήγησής σας θα σας ενημερώσει με χαρά ότι είναι «ασφαλές». Το Google Chrome θα προτείνει ακόμη και ότι είναι απόλυτα ωραία για να εισαγάγετε τον κωδικό πρόσβασης ή τον αριθμό της πιστωτικής σας κάρτας:
Σίγουρα, η σύνδεσή σας είναι "ιδιωτική", αρκεί να μην σας πειράζει ότι μπορεί να είναι μόνο ανάμεσα σε εσάς και κάποιον απατεώνα χαμηλής ζωής στο άλλο άκρο. Η κατάχρηση του δωρεάν HTTPS DV έγινε τόσο άσχημα που το FBI εξέδωσε ένα ανακοίνωση δημόσιων υπηρεσιών στις 10 Ιουνίου 2019 που αναφέρει, "Μην εμπιστεύεστε έναν ιστότοπο μόνο και μόνο επειδή έχει ένα εικονίδιο κλειδώματος ή" https "στη γραμμή διευθύνσεων του προγράμματος περιήγησης." A λεπτομερή μελέτη του 2019 των ιστοτόπων ηλεκτρονικού ψαρέματος HTTPS, από τους Vincent Drury και Ulrike Meyer του Πανεπιστημίου RWTH Aachen, επαναλαμβάνει αυτό το συμπέρασμα: "Οι απλές συμβουλές χρήστη για να ελέγξετε αν ένας ιστότοπος προστατεύεται από HTTPS δεν είναι πλέον αποτελεσματικός έναντι του ηλεκτρονικού ψαρέματος."
Παρά αυτά τα σοβαρά προβλήματα, τα περισσότερα μεγάλα προγράμματα περιήγησης στο Web μετακινήθηκαν πρόσφατα μακριά από την εμφάνιση επικυρωμένων πληροφοριών σχετικά με τους κατόχους ιστότοπων στη γραμμή διευθύνσεων του προγράμματος περιήγησης για ιστότοπους που προστατεύονται με πιστοποιητικά εκτεταμένης επικύρωσης (EV). Τα περισσότερα προγράμματα περιήγησης έχουν επίσης εξαλείψει τη διεπαφή χρήστη της «πράσινης γραμμής» που προηγουμένως υποδεικνύει έναν ιστότοπο που προστατεύεται από EV. Κατά συνέπεια, ορισμένες επιχειρήσεις και άλλοι οργανισμοί έχουν απομακρυνθεί από τα πιστοποιητικά EV και προστατεύουν τους ιστότοπούς τους με φθηνά (ή δωρεάν) πιστοποιητικά επικυρωμένου τομέα (DV).
Ένα πιστοποιητικό ιστότοπου DV προσφέρει στους χρήστες ένα βαθμό προστασίας διασφαλίζοντας ότι η επικοινωνία είναι κρυπτογραφημένη και ότι η οντότητα που εκτελεί τον ιστότοπο ελέγχει το όνομα τομέα όταν υπέβαλε αίτηση για το πιστοποιητικό, αλλά δεν παρέχει καμία εγγύηση για το ποιος πραγματικά κατέχει και διαχειρίζεται τον ιστότοπο. Μόνο πιστοποιητικό EV ή OV (Επικύρωση οργανισμού) με επικύρωση CA παρέχει αυτές τις πληροφορίες.
Δείτε πώς μπορείτε να ελέγξετε αυτά τα δημοφιλή προγράμματα περιήγησης για να δείτε εάν ένας κάτοχος ιστότοπου έχει καταβάλει επιπλέον προσπάθεια για να προστατεύσει και να ενημερώσει τους επισκέπτες του ιστότοπου χρησιμοποιώντας πιστοποιητικά EV ή OV:
Για να συνοψίσουμε τις πληροφορίες που εμφανίζονται παρακάτω, Internet Explorer αυτή τη στιγμή κάνει την καλύτερη δουλειά για την επικοινωνία πληροφοριών EV στους χρήστες. Safari εξακολουθεί να χρησιμοποιεί τη διεπαφή χρήστη της «πράσινης γραμμής» για την επικοινωνία της κατάστασης EV στους χρήστες, αλλά χρειάζεται ακόμα ένα κλικ για να προσδιορίσει τον κάτοχο του ιστότοπου. Chrome, Firefox, να άκρη Μην παρουσιάζετε ενδείξεις EV στη γραμμή διευθύνσεων και απαιτείτε από τους χρήστες να σκάψουν για τυχόν επικυρωμένες πληροφορίες σχετικά με τον κάτοχο μιας ιστοσελίδας. Το Chrome για macOS είναι ιδιαίτερα κακό, απαιτώντας τρία κλικ για να δείτε αυτές τις πληροφορίες (ή ακόμη και να προσδιορίσετε εάν υπάρχουν).
Google Chrome
Αυτά τα στιγμιότυπα οθόνης έγιναν στο Chrome 80.0.3987.149 στα Windows 10 Enterprise Version 1809.
1. Το Google Chrome εμφανίζει ένα κλειστό, σκούρο γκρι κλείδωμα στα αριστερά του URL για όλα τα SSL /TLS πιστοποιητικά (DV, OV και EV):
2. Για να λάβετε περισσότερες πληροφορίες σχετικά με το πιστοποιητικό ενός ιστότοπου, κάντε κλικ στο κλείδωμα.
3. Το Chrome δείχνει ότι η σύνδεση είναι ασφαλής (κρυπτογραφημένη) και μπορούμε να δούμε ότι το πιστοποιητικό εκδόθηκε στην SSL Corp. Μπορείτε να λάβετε πιο λεπτομερείς πληροφορίες κάνοντας κλικ Πιστοποιητικό.
4. Στο παράθυρο που ανοίγει, μπορείτε να δείτε λεπτομέρειες σχετικά με τον κάτοχο του ιστότοπου επιλέγοντας το Θέμα γραμμή στο Περιγραφή αυτί. (Σημείωση: Στο macOS, αυτές οι πληροφορίες εμφανίζονται σε διαφορετική μορφή παρόμοια με αυτήν Safari.)
Mozilla Firefox
Αυτά τα στιγμιότυπα οθόνης έγιναν στον Firefox 73.0.1 στο macOS 10.14.6 (Mojave).
1. Ο Firefox εμφανίζει ένα σκούρο γκρι κλείδωμα στα αριστερά του URL για όλα τα SSL /TLS πιστοποιητικά (DV, OV και EV).
2. Για να λάβετε περισσότερες πληροφορίες σχετικά με το πιστοποιητικό ενός ιστότοπου, κάντε κλικ στο κλείδωμα.
3. Τώρα μπορούμε να δούμε ότι το πιστοποιητικό του ιστότοπου εκδόθηκε στην SSL Corp:
4. Μπορείτε να σκάψετε για περισσότερες πληροφορίες κάνοντας κλικ στο > σύμβολο στη δεξιά πλευρά του παραθύρου διαλόγου.
5. Τώρα μπορούμε να δούμε ότι η SSL Corp βρίσκεται στο Χιούστον του Τέξας.
6. Εάν θέλετε να δείτε πιο λεπτομερείς πληροφορίες, κάντε κλικ στο Περισσότερες πληροφορίες.
7. Θα ανοίξει μια σελίδα με πλήρεις πληροφορίες σχετικά με το πιστοποιητικό και την αλυσίδα εμπιστοσύνης. Οι πληροφορίες σχετικά με τον κάτοχο του ιστότοπου εμφανίζονται στο Όνομα θέματος επικεφαλίδα.
Η Microsoft Edge
Αυτά τα στιγμιότυπα οθόνης έγιναν στο Edge 80.0.361.66 (Chromium) στα Windows 10 Enterprise Version 1809.
1. Το Edge εμφανίζει το περίγραμμα κλειστού κλειδώματος στα αριστερά της διεύθυνσης URL για όλα τα SSL /TLS πιστοποιητικά (DV, OV και EV):
2. Για να λάβετε περισσότερες πληροφορίες σχετικά με το πιστοποιητικό ενός ιστότοπου, κάντε κλικ στο κλείδωμα.
3. Το Edge δείχνει ότι η σύνδεση είναι ασφαλής (κρυπτογραφημένη) και μπορούμε να δούμε ότι το πιστοποιητικό εκδόθηκε στην SSL Corp. Μπορείτε να λάβετε πιο λεπτομερείς πληροφορίες κάνοντας κλικ Πιστοποιητικό.
4. Στο παράθυρο που ανοίγει, μπορείτε να δείτε λεπτομέρειες σχετικά με τον κάτοχο του ιστότοπου επιλέγοντας το Θέμα γραμμή στο Περιγραφή Tab.
Internet Explorer
Αυτά τα στιγμιότυπα οθόνης έγιναν στον Internet Explorer 11.11098.11763.0 στα Windows 10 Enterprise Version 1809.
1. Για ιστότοπους EV, ο Internet Explorer εμφανίζει τη γραμμή διευθύνσεων με πράσινο φόντο. Μια κλειστή κλειδαριά και το όνομα του κατόχου του ιστότοπου εμφανίζονται στα δεξιά.
2. Για ιστότοπους DV και OV, το IE εμφανίζει κλειδαριά, αλλά όχι το όνομα της εταιρείας και το πράσινο φόντο:
3. Για να δείτε πληροφορίες σχετικά με το πιστοποιητικό ιστότοπου, κάντε κλικ στο κλείδωμα.
4. Εδώ μπορούμε να δούμε ότι ο ιστότοπος λειτουργεί από την SSL Corp, του Χιούστον, Τέξας.
5. Για να δείτε περισσότερες πληροφορίες σχετικά με το πιστοποιητικό ιστότοπου, κάντε κλικ στο Προβολή πιστοποιητικών.
4. Στο παράθυρο που ανοίγει, μπορείτε να δείτε λεπτομέρειες σχετικά με τον κάτοχο του ιστότοπου επιλέγοντας το Θέμα γραμμή στο Περιγραφή Tab.
Apple Safari
Αυτά τα στιγμιότυπα οθόνης έγιναν στο Safari 13.0.5 στο macOS 10.14.6 (Mojave).
1. Για ιστότοπους EV, το Safari εμφανίζει ένα πράσινο κλείδωμα και όνομα τομέα:
2. Για ιστότοπους DV και OV, το Safari εμφανίζει γκρι κλείδωμα και μαύρο κείμενο:
3. Για να δείτε πληροφορίες σχετικά με το πιστοποιητικό ιστότοπου, κάντε κλικ στο κλείδωμα:
4. Για ιστότοπους EV, εμφανίζονται πληροφορίες σχετικά με τον κάτοχο της ιστοσελίδας:
5. Μπορείτε να λάβετε περισσότερες πληροφορίες κάνοντας κλικ στο Εμφάνιση πιστοποιητικού κουμπί:
6. Εδώ μπορείτε να λάβετε αναλυτικές πληροφορίες σχετικά με το πιστοποιητικό ιστότοπου και ολόκληρη την αλυσίδα εμπιστοσύνης που οδηγεί στη ρίζα CA (σε αυτήν την περίπτωση, SSL.com).
7. Μπορείτε να δείτε λεπτομέρειες σχετικά με το πιστοποιητικό κάνοντας κλικ στο τρίγωνο στα αριστερά του Περιγραφή.
8. Μπορείτε να δείτε λεπτομερείς πληροφορίες σχετικά με τον κάτοχο της ιστοσελίδας στο Όνομα θέματος επικεφαλίδα.
