Для того, чтобы вести бизнес в интернете, потребителям и предприятиям необходим надежный способ обмена номерами кредитных карт, паролями и другой личной информацией. Мы в Cloud4Y предоставляем SSL-сертификаты некоторых производителей, и поэтому мы решили дать небольшую справку и несколько интересных фактов по типам сертификатов, их достоинствам и подводным камням.

SSL — это технология, которая защищает большую часть интернета и по сути делает возможной электронную коммерцию. Пользователи могут определить его по символу замка в браузере, что значит следующее: все отправленные получателю данные шифруются таким способом, который никто больше не может расшифровать. Есть одна загвоздка: шифрование полезно только тогда, когда вы при отправке данных уверены, что получатель — не мошенник, а доверенное лицо, которое может их расшифровать.

SSL-сертификаты: транзакционная безопасность


Чтобы включить шифрование веб-сайты используют цифровые сертификаты, выдаваемые центрами сертификации (например, Symantec).Центр сертификации — это третья сторона, которая проверяет сведения о претенденте, используя различные базы данных, телефонные звонки и другие средства. Обратите внимание, что центр сертификации не проверяет надежность бизнеса, его роль заключается в том, чтобы убедиться, что бизнес существует и выдать учетные данные (цифровые сертификаты).
В настоящее время существует три типа сертификатов SSL: подтверждения домена (domain validated — DV), подтверждения организации (organizationally validated — OV) и сертификаты расширенной проверки (extended validation certificates — EV).

Не так давно был доступен только сертификат вида OV. С этим типом сертификата центр сертификации мог подтвердить соответствие определенной бизнес-информации имени домена, гарантируя таким образом, что претендент является именно тем, за кого себя выдает. Например, для приобретения сертификата для www.amazon.com компания Amazon должна была бы отправить в центр сертификации определенную информацию с сервера, подтверждающую, что это реальная компания.

Затем в 2000-х появились сертификаты типа DV. Такой сертификат давался в кратчайшие сроки, поскольку требовал от претендента только подтвердить свое право на использование доменного имени — и никакого подтверждения другой бизнес-информации. Например, если кто-то приобретал домен www.myfavоritestore.cоm, он мог получить сертификат типа DV, просто запросив его в центре сертификации и ответив на e-mail из него. Как только центр сертификации получал ответ, сразу выпускался сертификат, что позволяло мгновенно создать интернет-магазин MyFavoriteStore.com и начать принимать кредитные карты. Очевидно, что никакого подтверждения легитимности бизнеса при этом нет, и никто не может гарантировать, что этот интернет- магазин принадлежит не мошенникам.

Рисунок ниже позволяет сравнить вид окна браузера при использовании сертификатов этих двух типов для amazon.com:
image
Как видно на рисунке, сертификат типа DV не дает никакой информации, кроме имени домена (carbon2cobalt.com). Нет информации о том, откуда ведется этот бизнес и кто его владелец. Сертификат же типа OV certificate для amazon.com показывает и название компании, и ее локацию. В окне браузера сертификаты выглядят одинаково:
image

SSL расширенного типа


Следующий появившийся тип сертификата — сертификат расширенной проверки (Extended Validation — EV). В этом случае ЦС выполняет расширенные проверки заявителя для повышения уровня доверия в бизнесе. Ниже представлен пример сертификата расширенной проверки:
В этом примере понятно, что сертификат (и сайт) принадлежат Банку Америки в Чикаго, Иллинойс. Эта информация была подтверждена центром сертификации в рамках процесса проверки, который включал изучение корпоративных документов, проверку личности заявителя и проверку информации по базе данных центра сертификации.
image
Во всех браузерах при использовании этого сертификата горит визуальный индикатор, обычно зеленый замок в адресной строке. Это дает потребителю понять, что данные вебсайта тщательно проверены. Все браузеры отображают название организации слева или справа от URL. На рисунке ниже показано, как EV сертификаты отображаются в популярных браузерах. Расширенная проверка делает EV сертификаты более сложными для получения:
image
Сертификаты EV помогают установить законность бизнеса и предоставить инструмент, который может быть использован для оказания помощи в решении проблем, связанных с фишингом, вредоносным ПО и другими видами онлайн-мошенничества. EV сертификаты имеют следующие преимущества:

1. Затрудняют осуществление фишинга и других видов онлайн-мошенничества;
2. Помогают компаниям, которые могут стать объектами фишинга и онлайн-мошенничества, предоставляя им инструмент, позволяющий лучше идентифицировать себя в глазах пользователей;
3. Содействуют правоохранительным органам в расследовании фишинга и других видов онлайн-мошенничества.

Чем плохи базовые сертификаты?


Это просто: сайт MyFavoriteStore.com из уже рассмотренного нами примера не является реальным бизнесом. Это сайт, созданный для фишинга. Как это происходит?

1. Мошенник покупает домен у регистратора домена, используя поддельную информацию и данные украденной кредитной карты. Регистратор оформляет домен myfavoritestore.com на мошенника.
2. Получив права на домен, мошенник обращается в центр сертификации за сертификатом базового уровня (подтверждения домена). Центр сертификации требует только ответа заявителя по электронной почте, получив который, выдает сертификат.
3. Мошенник создает веб-страницы, которые рекламируют популярные товары, делает страницы ввода данных кредитных карт.
4. Покупателей привлекают на сайт через почтовую рассылку и ложную рекламу.
5. Когда потребитель видит замочек в строке бразуера, он спокойно вводит данные своей кредитной карты, чтобы сделать покупку.
6. Мошенник крадет данные кредитных карт, а потребитель теряет деньги и не получает свой товар. При просмотре сертификата SSL он не находит ничего, кроме доменного имени. Нет подтвержденного адреса и никакой другой информации.

Последнее исследование, проведенное компанией Symantec, показало, что более 1/3 из всех компаний электронной коммерции защищают сайты с помощью DV сертификатов. Это не удивительно, учитывая относительную легкость, скорость и низкие затраты на получение такого сертификата. Хотя все центры сертификации и должны выполнить базовую проверку на мошенничество, мошенники легко адаптируют свои методы, чтобы обойти эти проверки. Например, название PayPal является распространенным объектом мошенничества и, следовательно, центр сертификации будет проводить автоматизированную проверку похожих названий, таких как pay-pal, securepaypal, p@уpal и т. д. Но не так давно был зарегистрирован случай выдачи сертификата домену paypol-france.com, который затем был использован для фишинговых атак и кражи учетных данных пользователей. Получить сертификаты типа OV и EV с таким названием сайта мошенникам было бы гораздо сложнее.

Сравните два сертификата ниже. Слева — сертификат для сайта bookairfare.com, справа — для сайта ebookers.com. Потребитель, который ищет дешевые авиабилеты через поисковик, может быть направлен на оба эти сайта, но как ему понять, что бизнес проверен? Изучив сертификат слева, пользователь не увидит никакой деловой информации, то есть, перед ним сертификат типа DV. Сертификат справа, в отличие от левого, содержит проверенные бизнес-данные.
image
Преступники часто создают поддельные веб-сайты в целях хищения идентификационных данных и мошеннических. Чтобы добавить легитимности на сайт, они добавляют подробные графики, чтобы имитировать реальный сайт и получить SSL-сертификат, который дает пользователю визуальный индикатор безопасности. Как было сказано ранее, сертификат доменной проверки относительно легко получить. На рисунке ниже показан пример фишинга через ссылку в электронном письме:
image
На сайте есть убедительные веб-страницы и показан значок безопасности:
image
Тем не менее, проверка показывает, что перед нами — сертификат типа DV:
image

Вместо заключения


Как говорится, в интернете никто точно не знает, кто ты:
image
Тем не менее, в последние пару лет покупатели в сети интернет стали гораздо более опытными, начав уделять больше внимания вопросам безопасности. Сертификаты базового уровня постепенно отходят на второй план, поскольку многие пользователи больше не доверяют сайтам с такими сертификатами, предпочитая отдавать свои личные данные только проверенным компаниям.
Поделиться с друзьями
-->

Комментарии (8)


  1. molnij
    13.07.2016 14:58
    +2

    А вы уверены, что это статья для Хабра?
    Мне кажется здесь большинство знает, что показанный «значок безопасности» говорит о том, что ваше соединение шифруется и между вами и сайтом установлен защищенный канал, в который никто не вторгся и никак не связано с целями сайта и честностью его владельца


    1. Rathil
      13.07.2016 15:42

      Выходит, что не доверяют :)


  1. nazarpc
    13.07.2016 15:20
    +1

    Сертификаты базового уровня постепенно отходят на второй план, поскольку многие пользователи больше не доверяют сайтам с такими сертификатами, предпочитая отдавать свои личные данные только проверенным компаниям.

    По меньшей мере смешно!
    Уровень безопасности с криптографической точки зрения абсолютно идентичен базовым (и пользователи хабрахабра об этом хорошо знают). А с массовым переходом на HTTPS и HTTP/2 базовых сертификатов абсолютное большинство есть и будет.


    На закуску: проверьте тип сертификата на google.com, mail.google.com и прочие. Не доверяете?)


    1. avost
      13.07.2016 18:53
      +1

      Речь не об уровне криптографической защиты, а об уровне доверия.
      А сами-то на гугле тип сертификата посмотрели? :)


      1. nazarpc
        13.07.2016 19:11

        Смотрел. В google сертификаты базовые, выпущены собственным центром сертификации.


        1. avost
          14.07.2016 06:11

          OV


          1. nazarpc
            14.07.2016 10:51

            Я вот смотрел несколько их сертификатов — не вижу там OV, но это точно не EV, так что пользователю этого не видно, вот откуда пошел вопрос о доверии.


            1. avost
              14.07.2016 12:29

              Эммм..


              Common Name (CN) google.com
              Organization (O) Google Inc

              Не?
              Выпущены самими собой, да :).
              OV или не OV непростой вопрос, стандарта нет. Но поле организации присутствует же.