Come probabilmente già saprai, sul web non mancano i criminali informatici per rubare soldi e / o identità. Potresti averne un assaggio tu stesso - poco più di un anno fa ho dovuto fare i conti con una fattura di oltre $ 700 per uno smartphone ordinato a mio nome! Quello che potresti non sapere quanto è facile creare un sito Web realistico e falso per raccogliere password, numeri di carte di credito e altre informazioni sensibili da vittime ignare. Siti web come questo sono spesso creati come parte di phishing schemi - se si fa clic su un collegamento in un'e-mail di truffa che afferma di provenire da un'organizzazione legittima come un'azienda o una scuola, si verrà reindirizzati a una pagina di accesso fasulla in cui i truffatori sperano che si rinunciano ai dettagli succosi.
Ed ecco la parte spaventosa: Circa tre quarti di tutti i siti web di phishing ora hanno un SSL /TLS certificato! Secondo l'Anti-Phishing Working Group's Rapporto sulle tendenze delle attività di phishing per il 4 ° trimestre del 2019, 74% dei siti Web di phishing utilizza HTTPS. È gratuito e facile per gli aggressori impostare un certificato DV su un sito Web di truffa e il tuo browser web ti farà sapere che è "sicuro". Google Chrome suggerirà persino che lo sia perfettamente bene per inserire la password o il numero della carta di credito:
Certo, la tua connessione è "privata", fintanto che non ti dispiace che potrebbe essere tutto solo tra te e qualche truffatore malvagio dall'altra parte. L'abuso di DV HTTPS gratuito è diventato così grave che l'FBI ha emesso un file annuncio di servizio pubblico il 10 giugno 2019 che afferma, "Non fidarti di un sito web solo perché ha un'icona a forma di lucchetto o" https "nella barra degli indirizzi del browser." A studio dettagliato del 2019 dei siti Web di phishing HTTPS, di Vincent Drury e Ulrike Meyer della RWTH Aachen University, fa eco a questa conclusione: "Il semplice consiglio per gli utenti di verificare se un sito web è protetto da HTTPS non è più efficace contro il phishing."
Nonostante questi gravi problemi, la maggior parte dei principali browser Web si è recentemente spostata lontano dalla visualizzazione di informazioni convalidate sui proprietari di siti Web nella barra degli indirizzi del browser per i siti protetti con certificati EV (Extended Validation). La maggior parte dei browser ha anche eliminato l'interfaccia utente "barra verde" che in precedenza indicava un sito Web protetto da EV. Di conseguenza, alcune aziende e altre organizzazioni hanno abbandonato i certificati EV e stanno proteggendo i loro siti Web con certificati DV (Domain Validated) economici (o gratuiti).
Un certificato di sito Web DV offre agli utenti un certo grado di protezione assicurando che la comunicazione sia crittografata e che l'entità che gestisce il sito abbia controllato il nome di dominio quando ha richiesto il certificato, ma non fornisce alcuna garanzia su chi possiede e gestisce effettivamente il sito Web. Solo un certificato EV o OV (Organization Validation) convalidato dalla CA fornisce queste informazioni.
Ecco come puoi controllare in questi browser popolari per vedere se il proprietario di un sito web ha compiuto uno sforzo ulteriore per proteggere e informare i visitatori del sito utilizzando certificati EV o OV:
Per riassumere le informazioni mostrate di seguito, Internet Explorer attualmente svolge il miglior lavoro di comunicazione delle informazioni EV agli utenti. Safari utilizza ancora l'interfaccia utente "barra verde" per comunicare lo stato EV agli utenti, ma è comunque necessario un clic per identificare il proprietario del sito. Chrome, Firefoxe bordo non presentare alcun indicatore EV nella barra degli indirizzi e richiedere agli utenti di cercare informazioni convalidate sul proprietario di un sito web. Chrome per macOS è particolarmente dannoso, richiede tre clic per visualizzare queste informazioni (o anche determinare se esistono).
Google Chrome
Questi screenshot sono stati realizzati in Chrome 80.0.3987.149 su Windows 10 Enterprise versione 1809.
1. Google Chrome visualizza un lucchetto grigio scuro chiuso a sinistra dell'URL per tutti gli SSL /TLS certificati (DV, OV ed EV):
2. Per ottenere ulteriori informazioni sul certificato di un sito Web, fare clic sul lucchetto.
3. Chrome mostra che la connessione è sicura (crittografata) e possiamo vedere che il certificato è stato emesso a SSL Corp. Puoi ottenere informazioni più dettagliate facendo clic su Certificato.
4. Nella finestra visualizzata, è possibile visualizzare i dettagli sul proprietario del sito Web selezionando Oggetto linea sul Dettagli scheda. (Nota: In macOS, queste informazioni sono mostrate in un formato diverso che è simile a Safari.)
Mozilla Firefox
Questi screenshot sono stati realizzati in Firefox 73.0.1 su macOS 10.14.6 (Mojave).
1. Firefox visualizza un lucchetto grigio scuro a sinistra dell'URL per tutti i file SSL /TLS certificati (DV, OV ed EV).
2. Per ottenere ulteriori informazioni sul certificato di un sito Web, fare clic sul lucchetto.
3. Ora possiamo vedere che il certificato del sito web è stato rilasciato a SSL Corp:
4. Puoi scavare per ulteriori informazioni facendo clic su > simbolo sul lato destro della finestra di dialogo.
5. Ora possiamo vedere che SSL Corp si trova a Houston, in Texas.
6. Se desideri visualizzare informazioni più dettagliate, fai clic su Maggiori informazioni.
7. Si aprirà una pagina con le informazioni complete sul certificato e sulla catena di fiducia. Le informazioni sul proprietario del sito Web sono riportate sotto Nome soggetto intestazione.
Microsoft Edge
Questi screenshot sono stati realizzati in Edge 80.0.361.66 (Chromium) su Windows 10 Enterprise versione 1809.
1. Edge visualizza la struttura di un lucchetto chiuso a sinistra dell'URL per tutti gli SSL /TLS certificati (DV, OV ed EV):
2. Per ottenere ulteriori informazioni sul certificato di un sito Web, fare clic sul lucchetto.
3. Edge mostra che la connessione è sicura (crittografata) e possiamo vedere che il certificato è stato emesso a SSL Corp. Puoi ottenere informazioni più dettagliate facendo clic su Certificato.
4. Nella finestra visualizzata, è possibile visualizzare i dettagli sul proprietario del sito Web selezionando Oggetto linea sul Dettagli scheda.
Internet Explorer
Questi screenshot sono stati realizzati in Internet Explorer 11.11098.11763.0 su Windows 10 Enterprise versione 1809.
1. Per i siti Web EV, Internet Explorer visualizza la barra degli indirizzi con uno sfondo verde. Un lucchetto chiuso e il nome del proprietario del sito sono mostrati a destra.
2. Per i siti Web DV e OV, IE mostra un lucchetto ma non il nome dell'azienda e lo sfondo verde:
3. Per visualizzare le informazioni sul certificato del sito Web, fare clic sul lucchetto.
4. Qui possiamo vedere che il sito è gestito da SSL Corp, di Houston, Texas.
5. Per visualizzare ulteriori informazioni sul certificato del sito Web, fare clic su Visualizza i certificati.
4. Nella finestra visualizzata, è possibile visualizzare i dettagli sul proprietario del sito Web selezionando Oggetto linea sul Dettagli scheda.
apple Safari
Questi screenshot sono stati realizzati in Safari 13.0.5 su macOS 10.14.6 (Mojave).
1. Per i siti Web EV, Safari visualizza un lucchetto verde e un nome di dominio:
2. Per i siti Web DV e OV, Safari visualizza un lucchetto grigio e testo nero:
3. Per visualizzare le informazioni sul certificato del sito Web, fare clic sul lucchetto:
4. Per i siti Web EV, verranno visualizzate le informazioni sul proprietario del sito Web:
5. È possibile ottenere ulteriori informazioni facendo clic su Mostra certificato pulsante:
6. Qui è possibile ottenere informazioni dettagliate sul certificato del sito Web e l'intera catena di fiducia che porta alla CA radice (in questo caso, SSL.com).
7. È possibile visualizzare i dettagli sul certificato facendo clic sul triangolo a sinistra di Dettagli.
8. È possibile visualizzare informazioni dettagliate sul proprietario del sito Web in Nome soggetto intestazione.