SSL против EV SSL
Насколько я понимаю, SSL-сертификаты проверяют соединение между хостом и браузером, предотвращая атаки MITM. Правда ли, что EV SSL проверяет сам хост, тем самым предотвращая (теоретически) фишинговые атаки? Существуют ли какие-либо другие различия между EV SSL и обычным SSL?
3 answers
SSL-сертификаты используются для настройки зашифрованного соединения между клиентом и сервером. Часть проверки личности теоретически выполняется эмитентом сертификата до выдачи сертификата.
Но рынок SSL на самом деле немного мошеннический. Многие SSL-сертификаты выдаются с абсолютным минимумом проверки личности. Вы можете легко найти SSL-сертификаты менее чем за 20 долларов США, и сколько детективной работы вы можете получить за 20 доллар США... И имейте в виду, что это не самозаверяющие сертификаты, а сертификаты с тем же корнем, что и дорогие сертификаты от Comodo, Thawte и т.д.
Сертификаты расширенной проверки (EV) отличаются только в одном аспекте, но это важно: Существуют четкие минимальные стандарты для проверки личности перед выдачей сертификата. Исходя из этого, все современные браузеры придают сертификатам EV гораздо более заметное значение в пользовательском интерфейсе - 'зеленая полоса'.
Таким образом, большой вопрос для владельцев сайтов заключается в "Снижают ли сертификаты EV процент отказов?". Как и следовало ожидать, эмитенты сертификатов выпустили технические документы, в которых говорится, что они действительно работают и стоят своих гораздо более высоких ценников. Я в этом не уверен. Я искал независимые доказательства этого, но пока не увидел ни одного.
Получить обычный SSL-сертификат легко, получить EV-сертификат намного сложнее. Как правило, вам придется прыгать через большее количество обручей, чтобы установите свою личность для получения сертификатов EV.
Правда ли, что EV SSL проверяет сам хост, тем самым предотвращая (теоретически) фишинговые атаки?
Они помогают, но не предотвращают фишинговые атаки. Фишинговая атака - это кто-то другой, выдающий себя за вас, в любых средствах массовой информации, от веб-сайтов до телефона или факса. Если ваши пользователи ищут зеленую полосу EV с названием вашей компании, то сертификат EV обеспечивает некоторую защиту от фишинга в Интернете. Но сколько пользователей действительно обращаете на это внимание? Я предполагаю, что это меньшинство.
Правда ли, что EV SSL проверяет сам хост, тем самым предотвращая ( теоретически) фишинговые атаки?
Правильно, это теория, и после того, как прошел через приложение EV, я могу сообщить, что они невероятно скупы. Адрес нашей компании в нашей заявке немного отличался от того, что было указано в каком-то реестре компаний, на который они ссылались, и наша заявка несколько раз отклонялась, пока мы не разобрали все детали из.
Многие из современных методов фишинга основаны на том, что клиенты переходят на поддельные веб-сайты для сбора личной информации. Такие технологии, как SSL (Secure Sockets Layer) и SSL с расширенной проверкой (EV), имеют решающее значение в борьбе с фишингом и другими формами киберпреступности, шифруя конфиденциальную информацию и помогая клиентам аутентифицировать ваш сайт.
Чтобы предотвратить успешные фишинговые атаки и укрепить доверие клиентов, компаниям также необходим способ показать клиентам что они являются законным бизнесом. SSL-сертификаты расширенной проверки (EV) являются ответом, предлагая наивысший уровень аутентификации, доступный с помощью SSL-сертификата, и предоставляя ощутимые доказательства онлайн-пользователям того, что сайт действительно является законным бизнесом.
Сертификаты EV предоставляют посетителям веб-сайта простой и надежный способ установить доверие в Интернете, активируя веб-браузеры с высоким уровнем безопасности для отображения зеленой адресной строки с названием организации, которой принадлежит SSL Сертификат и название Центра сертификации, который его выдал.