Como você provavelmente já sabe, a web não tem escassez de cibercriminosos para roubar seu dinheiro e / ou identidade. Você mesmo pode ter gostado - há pouco mais de um ano, tive que lidar com uma fatura de mais de US $ 700 para um smartphone encomendado em meu nome! O que você pode não O que sabemos é como é fácil criar um site falso e realista para coletar senhas, números de cartão de crédito e outras informações confidenciais de vítimas inocentes. Sites como esse geralmente são configurados como parte de Phishing esquemas - se você clicar em um link em um email fraudulento que afirma ser de uma organização legítima como uma empresa ou escola, você será direcionado para uma página de login falsa, na qual os fraudadores esperam que você desista dos detalhes interessantes.
E aqui está a parte assustadora: Cerca de três quartos de todos os sites de phishing agora têm um SSL /TLS certificado! De acordo com o Grupo de Trabalho Anti-Phishing Relatório de tendências de atividades de phishing para o quarto trimestre de 4, 74% dos sites de phishing usam HTTPS. É gratuito e fácil para os invasores configurar um certificado DV em um site fraudulento, e seu navegador ficará feliz em informar que é "seguro". O Google Chrome vai até sugerir que é perfeitamente bem para inserir sua senha ou número do cartão de crédito:
Claro, sua conexão é "privada", contanto que você não se importe que possa ser apenas entre você e algum golpista do outro lado. O abuso de DV HTTPS grátis ficou tão ruim que o FBI emitiu um anúncio de serviço público em 10 de junho de 2019 que declara, “Não confie em um site apenas porque tem um ícone de cadeado ou 'https' na barra de endereço do navegador.” A estudo detalhado de 2019 dos sites de phishing HTTPS, por Vincent Drury e Ulrike Meyer, da Universidade RWTH Aachen, ecoa esta conclusão: “O simples conselho do usuário para verificar se um site é protegido por HTTPS não é mais eficaz contra phishing”.
Apesar desses sérios problemas, a maioria dos principais navegadores da web mudou recentemente longe de exibir informações validadas sobre proprietários de sites na barra de endereço do navegador para sites protegidos com certificados de validação estendida (EV). A maioria dos navegadores também eliminou a IU da “barra verde” que anteriormente indicava um site protegido por EV. Como consequência, algumas empresas e outras organizações abandonaram os certificados EV e estão protegendo seus sites com certificados validados por domínio (DV) baratos (ou gratuitos).
Um certificado de site de DV oferece aos usuários um grau de proteção, garantindo que a comunicação seja criptografada e que a entidade que está executando o site controle o nome do domínio quando solicitou o certificado, mas não oferece garantia de quem é o dono e o site que opera. Somente um certificado EV ou OV (Validação da organização) validado pela CA fornece essas informações.
Veja como você pode verificar esses navegadores populares para ver se o proprietário de um site fez um esforço extra para proteger e informar os visitantes do site usando certificados EV ou OV:
Para resumir as informações mostradas abaixo, Internet Explorer atualmente faz o melhor trabalho de comunicar informações de VE aos usuários. Safári ainda está usando a IU da “barra verde” para comunicar o status EV aos usuários, mas ainda é necessário um clique para identificar o proprietário do site. Chrome, Firefox e borda não apresenta nenhum indicador EV na barra de endereço e exige que os usuários procurem por informações validadas sobre o proprietário de um site. O Chrome para macOS é particularmente ruim, exigindo três cliques para ver essas informações (ou até mesmo determinar se existem).
Google Chrome
Essas capturas de tela foram feitas no Chrome 80.0.3987.149 no Windows 10 Enterprise versão 1809.
1. O Google Chrome exibe um cadeado cinza escuro fechado à esquerda do URL para todos os SSL /TLS certificados (DV, OV e EV):
2. Para obter mais informações sobre o certificado de um site, clique no cadeado.
3. O Chrome mostra que a conexão é segura (criptografada) e podemos ver que o certificado foi emitido para SSL Corp. Você pode obter informações mais detalhadas clicando em Certificado.
4. Na janela que se abre, você pode visualizar detalhes sobre o proprietário do site, selecionando o Assunto linha no Detalhes aba. (Nota: No macOS, essas informações são mostradas em um formato diferente, semelhante ao Safári.)
Mozilla Firefox
Essas capturas de tela foram feitas no Firefox 73.0.1 no macOS 10.14.6 (Mojave).
1. O Firefox exibe um cadeado cinza escuro à esquerda do URL para todos os SSL /TLS certificados (DV, OV e EV).
2. Para obter mais informações sobre o certificado de um site, clique no cadeado.
3. Agora podemos ver que o certificado do site foi emitido para SSL Corp:
4. Você pode procurar mais informações clicando no > símbolo no lado direito da caixa de diálogo.
5. Agora podemos ver que a SSL Corp está localizada em Houston, Texas.
6. Se desejar ver informações mais detalhadas, clique em Mais informações.
7. Uma página será aberta com informações completas sobre o certificado e a cadeia de confiança. As informações sobre o proprietário do site são mostradas sob o Nome do assunto encabeçando.
Microsoft Edge
Essas capturas de tela foram feitas no Edge 80.0.361.66 (Chromium) no Windows 10 Enterprise versão 1809.
1. O Edge exibe o contorno de um cadeado fechado à esquerda da URL para todos os SSL /TLS certificados (DV, OV e EV):
2. Para obter mais informações sobre o certificado de um site, clique no cadeado.
3. O Edge mostra que a conexão é segura (criptografada) e podemos ver que o certificado foi emitido para SSL Corp. Você pode obter informações mais detalhadas clicando em Certificado.
4. Na janela que se abre, você pode visualizar detalhes sobre o proprietário do site, selecionando o Assunto linha no Detalhes aba.
Internet Explorer
Essas capturas de tela foram feitas no Internet Explorer 11.11098.11763.0 no Windows 10 Enterprise Versão 1809.
1. Para sites de VE, o Internet Explorer exibe a barra de endereço com um fundo verde. Um cadeado fechado e o nome do proprietário do site são mostrados à direita.
2. Para sites de DV e OV, o IE mostra um bloqueio, mas não o nome da empresa e o fundo verde:
3. Para visualizar informações sobre o certificado do site, clique no cadeado.
4. Aqui podemos ver que o site é operado pela SSL Corp, de Houston, Texas.
5. Para visualizar mais informações sobre o certificado do site, clique em Ver certificados.
4. Na janela que se abre, você pode visualizar detalhes sobre o proprietário do site, selecionando o Assunto linha no Detalhes aba.
apple Safari
Essas capturas de tela foram feitas no Safari 13.0.5 no macOS 10.14.6 (Mojave).
1. Para sites de EV, o Safari exibe um bloqueio verde e nome de domínio:
2. Para sites DV e OV, o Safari exibe um bloqueio em cinza e texto em preto:
3. Para visualizar informações sobre o certificado do site, clique no cadeado:
4. Para sites EV, as informações sobre o proprietário do site serão exibidas:
5. Você pode obter mais informações clicando no Mostrar certificado botão:
6. Aqui você pode obter informações detalhadas sobre o certificado do site e toda a cadeia de confiança que leva à CA raiz (neste caso, SSL.com).
7. Você pode visualizar detalhes sobre o certificado clicando no triângulo à esquerda de Detalhes.
8. Você pode ver informações detalhadas sobre o proprietário do site na seção Nome do assunto encabeçando.