Seperti yang mungkin sudah Anda ketahui, web tidak memiliki kekurangan penjahat cyber untuk mencuri uang dan / atau identitas Anda. Anda mungkin telah merasakan sendiri - sedikit lebih dari setahun yang lalu saya harus berurusan dengan tagihan lebih dari $ 700 untuk smartphone yang dipesan atas nama saya! Apa yang kamu mungkin tidak ketahuilah betapa mudahnya membuat situs web palsu dan realistis untuk memanen kata sandi, nomor kartu kredit, dan informasi sensitif lainnya dari para korban yang tidak curiga. Situs web seperti ini sering diatur sebagai bagian dari Phishing skema - jika Anda mengklik tautan dalam email penipuan yang mengklaim berasal dari organisasi yang sah seperti bisnis atau sekolah, Anda akan dibawa ke halaman login palsu di mana scammers berharap Anda akan memberikan detail menarik.
Dan inilah bagian yang menakutkan: Sekitar tiga perempat dari semua situs web phishing sekarang memiliki SSL /TLS sertifikat! Menurut Kelompok Kerja Anti-Phishing Laporan Tren Aktivitas Phishing untuk kuartal ke-4 tahun 2019, 74% situs web phishing menggunakan HTTPS. Ini gratis dan mudah bagi penyerang untuk menyiapkan sertifikat DV di situs web scam, dan browser web Anda akan dengan senang hati memberi tahu Anda bahwa itu "aman". Google Chrome bahkan akan menyarankan itu sangat baik untuk memasukkan kata sandi atau nomor kartu kredit Anda:
Tentu, koneksi Anda adalah "pribadi", selama Anda tidak keberatan bahwa itu semua hanya antara Anda dan penipu kelas bawah di ujung lain. Penyalahgunaan DV HTTPS gratis menjadi sangat buruk sehingga FBI mengeluarkan file pengumuman layanan publik pada 10 Juni 2019 yang menyatakan, “Jangan percaya situs web hanya karena memiliki ikon kunci atau 'https' di bilah alamat browser.” A studi 2019 rinci situs web phishing HTTPS, oleh Vincent Drury dan Ulrike Meyer dari RWTH Aachen University, menggemakan kesimpulan ini: “Saran pengguna yang sederhana untuk memeriksa apakah situs web dilindungi HTTPS tidak lagi efektif terhadap phishing.”
Meskipun ada masalah serius ini, sebagian besar browser web utama baru-baru ini pindah jauh dari menampilkan informasi yang divalidasi tentang pemilik situs web di bilah alamat browser untuk situs yang dilindungi dengan sertifikat Extended Validation (EV). Sebagian besar browser juga telah menghilangkan antarmuka "bilah hijau" yang sebelumnya menunjukkan situs web yang dilindungi EV. Akibatnya, beberapa bisnis dan organisasi lain telah beralih dari sertifikat EV dan melindungi situs web mereka dengan sertifikat Domain Validated (DV) yang murah (atau gratis).
Sertifikat situs web DV memang menawarkan kepada pengguna tingkat perlindungan dengan memastikan bahwa komunikasi dienkripsi dan bahwa entitas yang menjalankan situs mengontrol nama domain saat mengajukan permohonan sertifikat, tetapi tidak memberikan jaminan siapa yang sebenarnya memiliki dan mengoperasikan situs web. Hanya sertifikat EV atau OV (Validasi Organisasi) yang divalidasi CA yang memberikan informasi ini.
Berikut cara memeriksa di browser populer ini untuk melihat apakah pemilik situs web telah melakukan upaya ekstra untuk melindungi dan memberi tahu pengunjung situs dengan menggunakan sertifikat EV atau OV:
Untuk meringkas informasi yang ditunjukkan di bawah ini, Internet Explorer saat ini melakukan pekerjaan terbaik untuk mengkomunikasikan informasi EV kepada pengguna. Safari masih menggunakan antarmuka "bilah hijau" untuk mengomunikasikan status EV kepada pengguna, tetapi masih membutuhkan satu klik untuk mengidentifikasi pemilik situs. Chrome, Firefox, dan Tepi tidak menampilkan indikator EV apa pun di bilah alamat, dan mengharuskan pengguna untuk menggali informasi yang divalidasi tentang pemilik situs web. Chrome untuk macOS sangat buruk, membutuhkan tiga klik untuk melihat informasi ini (atau bahkan menentukan apakah itu ada).
Google Chrome
Cuplikan layar ini dibuat di Chrome 80.0.3987.149 di Windows 10 Enterprise Versi 1809.
1. Google Chrome menampilkan kunci abu-abu gelap tertutup di sebelah kiri URL untuk semua SSL /TLS sertifikat (DV, OV, dan EV):
2. Untuk mendapatkan informasi lebih lanjut tentang sertifikat situs web, klik gemboknya.
3. Chrome menunjukkan bahwa koneksi aman (terenkripsi), dan kita dapat melihat bahwa sertifikat dikeluarkan untuk SSL Corp. Anda bisa mendapatkan informasi lebih rinci dengan mengklik sertifikat.
4. Di jendela yang terbuka, Anda dapat melihat detail tentang pemilik situs web dengan memilih Subjek baris pada Rincian tab. (Catatan: Di macOS, informasi ini ditampilkan dalam format berbeda yang mirip dengan Safari.)
Mozilla Firefox
Tangkapan layar ini dibuat di Firefox 73.0.1 di macOS 10.14.6 (Mojave).
1. Firefox menampilkan gembok abu-abu tua di sebelah kiri URL untuk semua SSL /TLS sertifikat (DV, OV, dan EV).
2. Untuk mendapatkan informasi lebih lanjut tentang sertifikat situs web, klik gemboknya.
3. Sekarang kita dapat melihat bahwa sertifikat situs web diterbitkan untuk SSL Corp:
4. Anda dapat menggali informasi lebih lanjut dengan mengklik > simbol di sisi kanan kotak dialog.
5. Sekarang kita dapat melihat bahwa SSL Corp terletak di Houston, Texas.
6. Jika Anda ingin melihat informasi lebih rinci, klik Informasi lebih lanjut.
7. Halaman akan terbuka dengan informasi lengkap tentang sertifikat dan rantai kepercayaan. Informasi tentang pemilik situs web ditampilkan di bawah Nama Subjek heading.
Microsoft Edge
Screenshot ini dibuat di Edge 80.0.361.66 (Chromium) di Windows 10 Enterprise Versi 1809.
1. Edge menampilkan garis besar kunci tertutup di sebelah kiri URL untuk semua SSL /TLS sertifikat (DV, OV, dan EV):
2. Untuk mendapatkan informasi lebih lanjut tentang sertifikat situs web, klik gemboknya.
3. Edge menunjukkan bahwa koneksi aman (terenkripsi), dan kita dapat melihat bahwa sertifikat dikeluarkan untuk SSL Corp. Anda dapat memperoleh informasi lebih rinci dengan mengklik sertifikat.
4. Di jendela yang terbuka, Anda dapat melihat detail tentang pemilik situs web dengan memilih Subjek baris pada Rincian Tab.
Internet Explorer
Screenshot ini dibuat di Internet Explorer 11.11098.11763.0 pada Windows 10 Enterprise Versi 1809.
1. Untuk situs web EV, Internet Explorer menampilkan bilah alamat dengan latar belakang hijau. Kunci tertutup dan nama pemilik situs ditampilkan di sebelah kanan.
2. Untuk situs web DV dan OV, IE menunjukkan kunci tetapi bukan nama perusahaan dan latar belakang hijau:
3. Untuk melihat informasi tentang sertifikat situs web, klik kunci.
4. Di sini kita dapat melihat bahwa situs ini dioperasikan oleh SSL Corp, dari Houston, Texas.
5. Untuk melihat informasi lebih lanjut tentang sertifikat situs web, klik Lihat sertifikat.
4. Di jendela yang terbuka, Anda dapat melihat detail tentang pemilik situs web dengan memilih Subjek baris pada Rincian Tab.
apple Safari
Tangkapan layar ini dibuat di Safari 13.0.5 di macOS 10.14.6 (Mojave).
1. Untuk situs web EV, Safari menampilkan kunci hijau dan nama domain:
2. Untuk situs web DV dan OV, Safari menampilkan kunci abu-abu dan teks hitam:
3. Untuk melihat informasi tentang sertifikat situs web, klik kunci:
4. Untuk situs web EV, informasi tentang pemilik situs web akan ditampilkan:
5. Anda dapat memperoleh informasi lebih lanjut dengan mengklik Tampilkan Sertifikat Tombol:
6. Di sini Anda dapat memperoleh informasi terperinci tentang sertifikat situs web dan seluruh rantai kepercayaan yang mengarah ke CA root (dalam hal ini, SSL.com).
7. Anda dapat melihat detail tentang sertifikat dengan mengeklik segitiga di sebelah kiri Rincian.
8. Anda dapat melihat informasi terperinci tentang pemilik situs web di bawah Nama Subjek heading.
