sh-*_*eta 6 phishing ssl-certificate
每次更新 SSL 证书时,我的提供商都会尝试向我出售扩展验证证书。最大的区别是 FireFox 和 Safari 中的绿色地址栏,成本是原来的四倍或五倍。
据说,好处(以及 IE8 或 Chrome 中未显示绿色条的原因)是对请求方进行更深入的身份验证。但是我可以检测到 Verisign 自己的所有 SSL 证书(第 3.2.2 节)的最低要求(来自他们的CPS)之间的实际差异很小:
威瑞信至少应:
• 通过使用至少一个第三方身份证明服务或数据库,或由适用的政府机构或主管当局签发或提交的组织文件来确定该组织的存在,以确认该组织的存在,• 通过电话、确认邮件或类似程序向证书申请人确认有关该组织的某些信息,该组织已授权证书申请,并且代表证书申请人提交证书申请的人已被授权这样做. 当证书包含个人作为本组织授权代表的姓名时,还应确认该个人的聘用及其代表本组织行事的权力。
当证书中包含域名或电子邮件地址时,威瑞信验证组织将该域名用作完全限定域名或电子邮件域的权利。
和 EV 要求(附录 F14C):
(C) 商业实体
为了验证商业实体的合法存在和身份,威瑞信验证该实体以申请人在申请中提交的名义从事业务。VeriSign 验证申请人的正式法定名称(由申请人注册管辖区内的注册机构认可)是否与 EV 证书请求中的申请人名称相匹配。VeriSign 会记录申请人注册管辖区内的注册机构分配给申请人的特定唯一注册号。如果注册机构没有分配注册号,则将记录申请人的注册日期。此外,根据 EV 指南第 14(b)(4) 节验证与商业实体相关的主要个人的身份。
所以:
1) EV 证书真的能激发用户更多的信任吗?
2) EV 证书真的有助于打击网络钓鱼/欺诈/供应商列出的任何事情吗?
3)如果他们实际上执行了最低要求,那不包括所有电动汽车的东西吗?我错过了什么?
六年过去了,是时候从 2015 年的角度重写这个傻瓜了(以及在商业 CA 领域的更多个人经验)。
\n\n首先,就电动汽车证书激发信任而言,答案仍然是“不,不是”。对电动汽车证书的独立研究并未显示出对典型消费者的有意义的影响。Peter Gutmann 的书《工程安全》在很大程度上是对 CA 的长达 800 页的咆哮,并且在全文中大量提到了 EV 证书在影响安全用户行为方面的(无效)有效性,其中密度最高在第 72 页开始的标题为“EV 证书:PKI-me-harder”的部分中。
\n\n另一方面,从证明 EV 证书有效性中获得最大收益的各方(出售证书的 CA)也无法拿出任何令人信服的证据。我能挖掘到的“最好”的电动汽车案例研究集合,其中充满了毫无根据的断言,而令人遗憾的是缺乏任何有用的数据。
\n\n至于 EV 证书是否真的对打击欺诈有用,我将再次回到 Peter Gutmann:
\n\n\n\n\n所谓的高保证或扩展验证(EV)证书的引入[...]只是将嫌疑人通常数量的两倍进行四舍五入的情况\xe2\x80\x94 大概是某人\xe2\ x80\x99s 会对它印象深刻,但对网络钓鱼的影响很小,因为它\xe2\x80\x99s 没有解决网络钓鱼者正在利用的任何问题。
\n
换句话说,您确实知道您正在通信的网站是乌兹别克斯坦塔什干的“Honest Achmed's Drug Bazaar and Fishmarket, Inc”,但它没有说什么关于艾哈迈德是否会利用您的信用卡详细信息和私人信息进行谎言。EV 证书也没有说明任何有关组织安全实践的有用信息:虽然ashleymadison.com使用通配符 DV 证书,但它完全有能力获得 EV 证书,并且每个人的私人过失仍然会受到影响。如果他们一直在运行 EV 证书,则可以下载。
最后,就其价值而言,EV 证书是在经过域验证 (DV) 或组织验证 (OV) 证书之外的(一些)更多验证之后颁发的。正在验证的内容实际上并不是那么重要,但您可以合理地确定有人已经付出了一些合理的努力来使绿色栏中指定的组织看起来存在。
\n| 归档时间: |
|
| 查看次数: |
1136 次 |
| 最近记录: |