Как вы, вероятно, уже знаете, в Интернете нет недостатка в киберпреступниках, способных украсть ваши деньги и / или личность. Возможно, вы сами попробовали - чуть больше года назад мне пришлось иметь дело со счетом в 700 долларов за смартфон, заказанный на мое имя! Что вы могли бы не Мы знаем, как легко создать реалистичный, поддельный веб-сайт для сбора паролей, номеров кредитных карт и другой конфиденциальной информации от ничего не подозревающих жертв. Такие сайты часто создаются как часть фишинг схемы - если вы нажмете на ссылку в электронном письме с мошенниками, которое утверждает, что оно принадлежит законной организации, такой как бизнес или школа, вы попадете на фальшивую страницу входа в систему, где мошенники надеются, что вы предоставите сочные подробности.
И вот что самое страшное: Примерно три четверти всех фишинговых сайтов теперь имеют SSL /TLS сертификат! По данным Рабочей группы по борьбе с фишингом Отчет о тенденциях фишинговой активности за 4 квартал 2019 года, 74% фишинговых сайтов используют HTTPS. Злоумышленники могут легко и бесплатно установить сертификат DV на мошенническом веб-сайте, и ваш веб-браузер с радостью сообщит вам, что это «безопасно». Google Chrome даже предложит, что это прекрасно чтобы ввести свой пароль или номер кредитной карты:
Конечно, ваше соединение является «частным», если вы не возражаете против того, что это может быть только между вами и каким-то мошенником на другом конце. Злоупотребление бесплатным DV HTTPS стало настолько серьезным, что ФБР выпустило объявление о государственной службе 10 июня 2019 года, в котором говорится, «Не доверяйте веб-сайту только потому, что у него есть значок замка или« https »в адресной строке браузера». A подробное исследование 2019 года Фишинговые сайты HTTPS, сделанные Винсентом Друри и Ульрикой Мейер из RWTH Aachen University, подтверждают этот вывод: «Простой совет пользователя проверить, защищен ли веб-сайт HTTPS, больше не эффективен против фишинга».
Несмотря на эти серьезные проблемы, большинство крупных веб-браузеров недавно переехали прочь от отображения проверенной информации о владельцах веб-сайтов в адресной строке браузера для сайтов, защищенных сертификатами расширенной проверки (EV). Большинство браузеров также устранили пользовательский интерфейс «зеленой полосы», который ранее указывал на веб-сайт, защищенный EV. Как следствие, некоторые предприятия и другие организации отошли от сертификатов EV и защищают свои веб-сайты с помощью дешевых (или бесплатных) сертификатов с проверкой домена (DV).
Сертификат веб-сайта DV предлагает пользователям определенную степень защиты, обеспечивая шифрование связи и то, что объект, управляющий сайтом, контролировал доменное имя, когда подал заявку на сертификат, но это не дает гарантии того, кто на самом деле владеет и управляет веб-сайтом. Эту информацию предоставляет только сертифицированный CA сертификат EV или OV (проверка организации).
Вот как вы можете проверить эти популярные браузеры, чтобы узнать, приложил ли владелец веб-сайта дополнительные усилия для защиты и информирования посетителей сайта с помощью сертификатов EV или OV:
Чтобы суммировать информацию, показанную ниже, Internet Explorer в настоящее время делает лучшую работу по передаче информации EV пользователям. Safari по-прежнему использует пользовательский интерфейс с «зеленой полосой» для сообщения пользователям о статусе электромобиля, но для идентификации владельца сайта по-прежнему требуется щелчок. Chrome, Firefoxкачества Edge не отображать индикаторы EV в адресной строке и требовать от пользователей поиска любой проверенной информации о владельце веб-сайта. Chrome для macOS особенно плох, требуя трех щелчков мышью, чтобы просмотреть эту информацию (или даже определить, существует ли она).
Google Chrome
Эти скриншоты были сделаны в Chrome 80.0.3987.149 в Windows 10 Enterprise Version 1809.
1. Google Chrome отображает закрытый темно-серый замок слева от URL-адреса для всех SSL /TLS сертификаты (DV, OV и EV):
2. Чтобы получить дополнительную информацию о сертификате веб-сайта, нажмите на замок.
3. Chrome показывает, что соединение является безопасным (зашифрованным), и мы видим, что сертификат был выдан SSL Corp. Вы можете получить более подробную информацию, нажав Сертификация.
4. В открывшемся окне вы можете просмотреть сведения о владельце сайта, выбрав Тема линия на Подробнее Вкладка. (Примечание: В macOS эта информация отображается в другом формате, который похож на Safari .)
Mozilla Firefox
Эти скриншоты были сделаны в Firefox 73.0.1 на macOS 10.14.6 (Mojave).
1. Firefox отображает темно-серый замок слева от URL-адреса для всех SSL /TLS сертификаты (DV, OV и EV).
2. Чтобы получить дополнительную информацию о сертификате веб-сайта, нажмите на замок.
3. Теперь мы видим, что сертификат сайта был выдан SSL Corp:
4. Вы можете копать для получения дополнительной информации, нажав на > символ в правой части диалогового окна.
5. Теперь мы видим, что SSL Corp находится в Хьюстоне, штат Техас.
6. Если вы хотите увидеть более подробную информацию, нажмите Больше информации.
7. Откроется страница с полной информацией о сертификате и цепочке доверия. Информация о владельце сайта отображается под Имя субъекта заголовок.
Microsoft Edge
Эти снимки экрана были сделаны в Edge 80.0.361.66 (Chromium) в Windows 10 Enterprise Version 1809.
1. Edge отображает контур закрытого замка слева от URL-адреса для всех SSL /TLS сертификаты (DV, OV и EV):
2. Чтобы получить дополнительную информацию о сертификате веб-сайта, нажмите на замок.
3. Edge показывает, что соединение является безопасным (зашифрованным), и мы видим, что сертификат был выдан SSL Corp. Вы можете получить более подробную информацию, нажав Сертификация.
4. В открывшемся окне вы можете просмотреть сведения о владельце сайта, выбрав Тема линия на Подробнее меню.
Internet Explorer
Эти снимки экрана были сделаны в Internet Explorer 11.11098.11763.0 в Windows 10 Enterprise Version 1809.
1. Для веб-сайтов EV Internet Explorer отображает адресную строку с зеленым фоном. Закрытый замок и имя владельца сайта показаны справа.
2. Для сайтов DV и OV IE показывает блокировку, но не название компании и зеленый фон:
3. Чтобы просмотреть информацию о сертификате сайта, нажмите на замок.
4. Здесь мы видим, что сайт управляется SSL Corp из Хьюстона, Техас.
5. Для просмотра дополнительной информации о сертификате веб-сайта нажмите Посмотреть сертификаты.
4. В открывшемся окне вы можете просмотреть сведения о владельце сайта, выбрав Тема линия на Подробнее меню.
Apple Safari
Эти скриншоты были сделаны в Safari 13.0.5 на macOS 10.14.6 (Mojave).
1. Для веб-сайтов EV Safari отображает зеленый замок и имя домена:
2. Для веб-сайтов DV и OV Safari отображает серый замок и черный текст:
3. Чтобы просмотреть информацию о сертификате сайта, нажмите на замок:
4. Для сайтов EV будет отображаться информация о владельце сайта:
5. Вы можете получить больше информации, нажав Показать сертификат Кнопка:
6. Здесь вы можете получить подробную информацию о сертификате веб-сайта и всей цепочке доверия, ведущей к корневому ЦС (в данном случае SSL.com).
7. Вы можете просмотреть подробную информацию о сертификате, нажав треугольник слева от Подробнее.
8. Вы можете увидеть подробную информацию о владельце сайта в разделе Имя субъекта заголовок.