おそらくすでにご存じのとおり、あなたのお金やIDを盗むためのサイバー犯罪者がWebに不足することはありません。 自分で味わったかもしれませんが、700年ほど前に、私の名前で注文したスマートフォンのXNUMXドル以上の請求書に対処しなければなりませんでした。 何を 疑いを持たない被害者からパスワード、クレジットカード番号、その他の機密情報を収集するための現実的で偽のWebサイトを作成するのがいかに簡単かを知っています。 このようなウェブサイトはしばしばの一部として設定されます フィッシング詐欺 スキーム–ビジネスや学校などの正当な組織からのものであると主張する詐欺メールのリンクをクリックすると、詐欺師はジューシーな詳細をあきらめることを望む偽のログインページに移動します。
そして、ここが怖い部分です: 現在、すべてのフィッシングWebサイトの約XNUMX分のXNUMXにSSL /があります。TLS 証明書! フィッシング対策ワーキンググループの フィッシング活動傾向レポート 4年第2019四半期 74% のフィッシングWebサイトではHTTPSを使用しています。 攻撃者が詐欺WebサイトにDV証明書を設定するのは無料で簡単で、Webブラウザーはそれが「安全」であることを喜んで通知します。 Google Chromeは、 完全に元気 パスワードまたはクレジットカード番号を入力するには:
確かに、あなたと他人の卑劣な詐欺師の間だけの可能性があることを気にしない限り、あなたのつながりは「プライベート」です。 無料のDV HTTPSの乱用がひどくなり、FBIが 公共サービスの案内 10年2019月XNUMX日、 「ブラウザのアドレスバーにロックアイコンまたは「https」があるからといって、ウェブサイトを信頼しないでください。」 A 詳細な2019年の調査 RWTHアーヘン大学のVincent DruryとUlrike MeyerによるHTTPSフィッシングWebサイトの例は、この結論を反映しています。 「WebサイトがHTTPSで保護されているかどうかを確認するための簡単なユーザーアドバイスは、フィッシングに対してはもはや効果がありません。」
これらの深刻な問題にもかかわらず、ほとんどの主要なWebブラウザーは最近移動しました 離れて 拡張検証(EV)証明書で保護されたサイトのブラウザーアドレスバーに、Webサイト所有者に関する検証済みの情報を表示しないようにします。 ほとんどのブラウザーは、以前はEVで保護されたWebサイトを示していた「緑色のバー」UIも排除しています。 その結果、一部の企業や他の組織はEV証明書から離れ、安価な(または無料の)ドメイン検証済み(DV)証明書でWebサイトを保護しています。
DV Webサイトの証明書は、通信が暗号化され、サイトを実行しているエンティティが証明書の申請時にドメイン名を制御することを保証することにより、ある程度の保護をユーザーに提供します。 しかし、それは実際に誰がウェブサイトを所有し運営しているのかを保証するものではありません。 CAで検証されたEVまたはOV(組織の検証)証明書のみがこの情報を提供します。
これらの人気のあるブラウザーをチェックインして、Webサイトの所有者がEVまたはOV証明書を使用してサイトの訪問者を保護および通知するために特別な努力を払っているかどうかを確認する方法は次のとおりです。
以下に示す情報を要約すると、 インターネットエクスプローラ 現在、EV情報をユーザーに伝えるのに最適です。 Safari はまだ「緑色のバー」UIを使用してEVステータスをユーザーに通知していますが、クリックするだけでサイトの所有者を特定できます。 クロム, Firefoxの, エッジ(Edge) アドレスバーにEVインジケーターを表示せず、ユーザーにWebサイトの所有者に関する検証済みの情報を掘り下げるよう要求します。 Chrome for macOSは特に問題があり、この情報を表示する(または存在するかどうかを確認する)ためにXNUMX回クリックする必要があります。
Google Chrome
これらのスクリーンショットは、Windows 80.0.3987.149 Enterpriseバージョン10のChrome 1809で作成されました。
1. Google Chromeは、すべてのSSL /のURLの左側に閉じた濃い灰色のロックを表示しますTLS 証明書(DV、OV、およびEV):
2. Webサイトの証明書に関する詳細情報を取得するには、カギをクリックします。
3. Chromeは接続が安全である(暗号化されている)ことを示し、証明書がSSL Corpに発行されたことがわかります。クリックすると詳細情報を取得できます 認証.
4.開いたウィンドウで、ウェブサイトの所有者に関する詳細を表示するには、 件名 上の線 詳細 タブ。 (ご注意: macOSでは、この情報は次のような別の形式で表示されます Safari.)
Mozilla Firefox
これらのスクリーンショットは、macOS 73.0.1(Mojave)上のFirefox 10.14.6で作成されました。
1. Firefoxは、すべてのSSL /のURLの左側に濃い灰色のロックを表示しますTLS 証明書(DV、OV、およびEV)。
2. Webサイトの証明書に関する詳細情報を取得するには、カギをクリックします。
3.これで、Webサイトの証明書がSSLCorpに発行されたことがわかります。
4.をクリックして詳細を掘り下げることができます > ダイアログボックスの右側にある記号。
5.これで、SSL Corpがテキサス州ヒューストンにあることがわかります。
6.より詳細な情報を見たい場合は、 詳細情報.
7.ページが開き、証明書と信頼チェーンに関する詳細情報が表示されます。 ウェブサイトの所有者に関する情報は、 件名 見出し。
Microsoft Edge
これらのスクリーンショットは、Windows 80.0.361.66 Enterpriseバージョン10のEdge 1809(Chromium)で作成されました。
1. Edgeは、すべてのSSL /のURLの左側に閉じたロックの概要を表示します。TLS 証明書(DV、OV、およびEV):
2. Webサイトの証明書に関する詳細情報を取得するには、カギをクリックします。
3. Edgeは接続が安全(暗号化)であることを示し、証明書がSSL Corpに発行されたことがわかります。クリックすると詳細情報を取得できます 認証.
4.開いたウィンドウで、ウェブサイトの所有者に関する詳細を表示するには、 件名 上の線 詳細 タブには何も表示されないことに注意してください。
インターネットエクスプローラ
これらのスクリーンショットは、Windows 11.11098.11763.0 Enterpriseバージョン10のInternet Explorer 1809で作成されました。
1. EV Webサイトの場合、Internet Explorerは背景が緑色のアドレスバーを表示します。 閉じた鍵とサイト所有者の名前が右側に表示されます。
2. DVおよびOV Webサイトの場合、IEはロックを表示しますが、会社名と緑の背景は表示しません。
3. Webサイト証明書に関する情報を表示するには、カギをクリックします。
4.ここでは、サイトがテキサス州ヒューストンのSSL Corpによって運営されていることがわかります。
5. Webサイト証明書の詳細を表示するには、 証明書を表示する.
4.開いたウィンドウで、ウェブサイトの所有者に関する詳細を表示するには、 件名 上の線 詳細 タブには何も表示されないことに注意してください。
アップルのSafari
これらのスクリーンショットは、macOS 13.0.5(Mojave)のSafari 10.14.6で作成されました。
1. EV Webサイトの場合、Safariは緑色の鍵とドメイン名を表示します。
2. DVおよびOV Webサイトの場合、Safariは灰色の鍵と黒いテキストを表示します。
3. Webサイト証明書に関する情報を表示するには、カギをクリックします。
4. EV Webサイトの場合、Webサイトの所有者に関する情報が表示されます。
5.をクリックすると、詳細情報を取得できます 証明書を表示 ボタン:
6.ここでは、Webサイト証明書と、ルートCA(この場合はSSL.com)に至る信頼チェーン全体に関する詳細情報を取得できます。
7.証明書の詳細を表示するには、左側の三角形をクリックします。 詳細.
8.ウェブサイトの所有者に関する詳細情報は、 件名 見出し。