it-swarm-eu.dev

SSL versus EV SSL

Jak to chápu, certifikáty SSL ověřují spojení mezi hostitelem a prohlížečem, což brání útokům MITM. Je pravda, že protokol EV SSL ověří samotného hostitele, čímž zabrání (teoreticky) phishingovým útokům? Existují nějaké další rozdíly mezi EV SSL a běžným SSL?

5
waiwai933

SSL certifikáty se používají k nastavení šifrovaného spojení mezi klientem a serverem. Část ověření identity je teoreticky prováděna vydavatelem certifikátu před vydáním certifikátu.

Ale trh SSL je opravdu trochu podvod. Mnoho SSL certifikátů je vydáváno s absolutním minimem ověření identity. Můžete snadno najít SSL certifikáty za méně než 20 USD a kolik detektivní práce můžete získat za 20 USD ... A pamatujte, že nejde o certifikáty s vlastním podpisem, ale o certifikáty se stejným kořenem jako ty drahé od Comodo. , Thawte atd.

Certifikáty Extended Validation (EV) se liší pouze v jednom aspektu, ale je to důležité: Před vydáním certifikátu existují jasné minimální standardy pro ověření identity . Na základě toho všechny moderní prohlížeče dávají certifikátům EV mnohem výraznější zacházení v uživatelském rozhraní - „ zelený pruh '.

Velkou otázkou pro majitele stránek tedy je „Snižují certifikáty EV míru opuštění?“ . Vydavatelé certifikátů vydali předběžně whitepapers s uvedením, že fungují, a stojí za jejich mnohem vyšší cenovky. Nejsem si tak jistý. Hledal jsem o tom nezávislý důkaz a ještě jsem nic neviděl.

Získání běžného certifikátu SSL je snadné, získání certifikátu EV je mnohem těžší. Zpravidla budete muset přeskočit více obručí, abyste zjistili svou identitu pro EV certs.

Je pravda, že protokol EV SSL ověří samotného hostitele, čímž zabrání (teoreticky) phishingovým útokům?

Pomáhají, ale nezabrání phishingovým útokům. Phishingový útok je někdo jiný, kdo se za vás vydává, v jakémkoli médiu od webových stránek po telefon nebo fax. Pokud vaši uživatelé hledají zelený pruh EV s názvem vaší společnosti, pak certifikát EV poskytuje určitou ochranu před phishingem na webu. Kolik uživatelů to však opravdu věnuje? Myslím, že je to menšina.

5
Jesper Mortensen

Je pravda, že protokol EV SSL ověří samotného hostitele, čímž zabrání (teoreticky) phishingovým útokům?

Správně, to je teorie, a poté, co jsem prošel aplikací EV , mohu oznámit, že jsou neuvěřitelně lakomí. Adresa naší společnosti se v naší aplikaci oh-tak-mírně lišila, co se týkalo toho, co bylo uvedeno v nějakém obchodním rejstříku, na který se vztahují, a naše žádost byla několikrát zamítnuta, dokud jsme všechny podrobnosti nevyřešili.

1
Mark Henderson