Jak zapewne już wiesz, w sieci nie brakuje cyberprzestępców, którzy mogą ukraść twoje pieniądze i / lub tożsamość. Być może sam skosztowałeś - nieco ponad rok temu miałem do czynienia z rachunkiem w wysokości ponad 700 $ za smartfon zamówiony na moje imię! Co możesz nie wiemy, jak łatwo jest stworzyć realistyczną, fałszywą stronę internetową do zbierania haseł, numerów kart kredytowych i innych poufnych informacji od niczego niepodejrzewających ofiar. Takie strony internetowe są często tworzone jako część phishing schematy - jeśli klikniesz link w e-mailu o oszustwie, który twierdzi, że pochodzi z legalnej organizacji, takiej jak firma lub szkoła, zostaniesz przeniesiony na fałszywą stronę logowania, na której oszuści mają nadzieję, że podasz soczyste szczegóły.
A oto przerażająca część: Około trzy czwarte wszystkich witryn phishingowych ma teraz SSL /TLS certyfikat! Według Anti-Phishing Working Group Raport o trendach dotyczących phishingu za czwarty kwartał 4 r., 74% witryn phishingowych korzysta z HTTPS. Atakujący mogą bezpłatnie i łatwo skonfigurować certyfikat DV w oszukańczej witrynie, a przeglądarka internetowa z radością poinformuje Cię, że jest to „bezpieczne”. Google Chrome nawet zasugeruje, że tak całkiem w porządku aby wprowadzić hasło lub numer karty kredytowej:
Jasne, twoje połączenie jest „prywatne”, o ile nie masz nic przeciwko temu, że może być tylko między tobą a jakimś oszustem po drugiej stronie. Nadużywanie darmowego DV HTTPS stało się tak poważne, że FBI wydało ogłoszenie publiczne 10 czerwca 2019 r. stwierdza, „Nie ufaj witrynie tylko dlatego, że ma ikonę kłódki lub znak„ https ”w pasku adresu przeglądarki”. A szczegółowe badanie z 2019 r witryn phishingowych HTTPS autorstwa Vincenta Drury i Ulrike Meyer z RWTH Aachen University przypomina ten wniosek: „Prosta rada użytkownika dotycząca sprawdzenia, czy witryna internetowa jest chroniona przez HTTPS, nie jest już skuteczna w przypadku wyłudzania informacji”.
Pomimo tych poważnych problemów większość głównych przeglądarek internetowych niedawno się przeprowadziła z dala z wyświetlania zweryfikowanych informacji o właścicielach witryn w pasku adresu przeglądarki w przypadku witryn chronionych certyfikatami Extended Validation (EV). Większość przeglądarek wyeliminowała również interfejs użytkownika „zielonego paska”, który wcześniej wskazywał witrynę chronioną przez pojazdy elektryczne. W rezultacie niektóre firmy i inne organizacje odeszły od certyfikatów EV i chronią swoje strony internetowe za pomocą tanich (lub bezpłatnych) certyfikatów z walidacją domeny (DV).
Certyfikat strony internetowej DV zapewnia użytkownikom pewien poziom ochrony, zapewniając, że komunikacja jest szyfrowana, a podmiot prowadzący witrynę kontroluje nazwę domeny, gdy występuje o certyfikat, ale nie daje pewności, kto tak naprawdę jest właścicielem i zarządza witryną. Tylko potwierdzony przez CA certyfikat EV lub OV (organizacja sprawdzania poprawności) zapewnia te informacje.
Oto, jak możesz sprawdzić w tych popularnych przeglądarkach, czy właściciel witryny podjął dodatkowy wysiłek, aby chronić i informować odwiedzających witrynę za pomocą certyfikatów EV lub OV:
Aby podsumować informacje przedstawione poniżej, Internet Explorer obecnie najlepiej sprawdza się w przekazywaniu informacji EV użytkownikom. Safari nadal używa „zielonego paska” interfejsu użytkownika do informowania użytkowników o stanie pojazdu elektrycznego, ale i tak wystarczy jedno kliknięcie, aby zidentyfikować właściciela witryny. Chrom, Firefox, krawędź nie prezentuj żadnych wskaźników EV w pasku adresu i wymagaj od użytkowników wyszukiwania wszelkich zweryfikowanych informacji o właścicielu witryny. Chrome na macOS jest szczególnie zły i wymaga trzech kliknięć, aby wyświetlić te informacje (lub nawet ustalić, czy istnieją).
Google Chrome
Te zrzuty ekranu zostały wykonane w Chrome 80.0.3987.149 w systemie Windows 10 Enterprise w wersji 1809.
1. Google Chrome wyświetla zamkniętą, ciemnoszarą kłódkę po lewej stronie adresu URL dla wszystkich SSL /TLS certyfikaty (DV, OV i EV):
2. Aby uzyskać więcej informacji o certyfikacie witryny sieci Web, kliknij kłódkę.
3. Chrome pokazuje, że połączenie jest bezpieczne (szyfrowane) i widzimy, że certyfikat został wydany dla SSL Corp. Możesz uzyskać bardziej szczegółowe informacje, klikając Certyfikat.
4. W oknie, które zostanie otwarte, możesz wyświetlić szczegóły dotyczące właściciela witryny, wybierając opcję Temat linia na Szczegóły patka. (Uwaga: W systemie macOS informacje te są wyświetlane w innym formacie podobnym do Safari.)
Mozilla Firefox
Te zrzuty ekranu zostały wykonane w przeglądarce Firefox 73.0.1 na macOS 10.14.6 (Mojave).
1. Firefox wyświetla ciemnoszarą kłódkę po lewej stronie adresu URL dla wszystkich SSL /TLS certyfikaty (DV, OV i EV).
2. Aby uzyskać więcej informacji o certyfikacie witryny sieci Web, kliknij kłódkę.
3. Teraz widzimy, że certyfikat witryny został wydany dla SSL Corp:
4. Możesz kopać, aby uzyskać więcej informacji, klikając > symbol po prawej stronie okna dialogowego.
5. Teraz widzimy, że SSL Corp znajduje się w Houston w Teksasie.
6. Jeśli chcesz zobaczyć bardziej szczegółowe informacje, kliknij Więcej informacji.
7. Otworzy się strona z pełną informacją o certyfikacie i łańcuchu zaufania. Informacje o właścicielu strony internetowej są pokazane pod Nazwa przedmiotu nagłówek.
Microsoft Edge
Te zrzuty ekranu zostały wykonane w Edge 80.0.361.66 (Chromium) w systemie Windows 10 Enterprise w wersji 1809.
1. Edge wyświetla zarys zamkniętej kłódki po lewej stronie adresu URL dla wszystkich SSL /TLS certyfikaty (DV, OV i EV):
2. Aby uzyskać więcej informacji o certyfikacie witryny sieci Web, kliknij kłódkę.
3. Edge pokazuje, że połączenie jest bezpieczne (szyfrowane) i widzimy, że certyfikat został wydany dla SSL Corp. Możesz uzyskać bardziej szczegółowe informacje, klikając Certyfikat.
4. W oknie, które zostanie otwarte, możesz wyświetlić szczegóły dotyczące właściciela witryny, wybierając opcję Temat linia na Szczegóły patka.
Internet Explorer
Te zrzuty ekranu zostały wykonane w przeglądarce Internet Explorer 11.11098.11763.0 w systemie Windows 10 Enterprise w wersji 1809.
1. W przypadku witryn EV przeglądarka Internet Explorer wyświetla pasek adresu z zielonym tłem. Zamknięta blokada i nazwisko właściciela witryny są pokazane po prawej stronie.
2. W przypadku witryn DV i OV IE pokazuje blokadę, ale nie pokazuje nazwy firmy i zielonego tła:
3. Aby wyświetlić informacje o certyfikacie witryny, kliknij blokadę.
4. Tutaj możemy zobaczyć, że strona jest obsługiwana przez SSL Corp z Houston w Teksasie.
5. Aby wyświetlić więcej informacji o certyfikacie witryny, kliknij Wyświetl certyfikaty.
4. W oknie, które zostanie otwarte, możesz wyświetlić szczegóły dotyczące właściciela witryny, wybierając opcję Temat linia na Szczegóły patka.
Apple Safari
Te zrzuty ekranu zostały wykonane w Safari 13.0.5 na macOS 10.14.6 (Mojave).
1. W przypadku witryn EV Safari wyświetla zieloną blokadę i nazwę domeny:
2. W przypadku witryn DV i OV Safari wyświetla szarą blokadę i czarny tekst:
3. Aby wyświetlić informacje o certyfikacie witryny, kliknij blokadę:
4. W przypadku witryn EV wyświetlane są informacje o właścicielu witryny:
5. Możesz uzyskać więcej informacji, klikając Pokaż certyfikat przycisk:
6. Tutaj możesz uzyskać szczegółowe informacje o certyfikacie witryny i całym łańcuchu zaufania prowadzącym do głównego urzędu certyfikacji (w tym przypadku SSL.com).
7. Możesz wyświetlić szczegóły dotyczące certyfikatu, klikając trójkąt po lewej stronie Szczegóły.
8. Szczegółowe informacje na temat właściciela witryny można znaleźć pod Nazwa przedmiotu nagłówek.