nl.phhsnews.com


nl.phhsnews.com / Hoe browsers de identiteit van de website verifiëren en beschermen tegen Imposters

Hoe browsers de identiteit van de website verifiëren en beschermen tegen Imposters


Is het u ooit opgevallen dat uw browser soms de naam van een website op een gecodeerde website weergeeft? Dit is een teken dat de website een uitgebreid validatiecertificaat heeft, waarmee wordt aangegeven dat de identiteit van de website is geverifieerd.

EV-certificaten bieden geen extra coderingssterkte; in plaats daarvan geeft een EV-certificaat aan dat uitgebreide verificatie van de identiteit van de website plaatsgevonden. Standaard SSL-certificaten bieden zeer weinig verificatie van de identiteit van een website.

Hoe browsers uitgebreide validatiecertificaten weergeven

Op een gecodeerde website die geen uitgebreid validatiecertificaat gebruikt, zegt Firefox dat de website wordt "gerund door (onbekend) . "

Chrome geeft niets anders weer en zegt dat de identiteit van de website is geverifieerd door de certificeringsinstantie die het certificaat van de website heeft uitgegeven.

Wanneer u bent verbonden met een website die een uitgebreid validatiecertificaat gebruikt, vertelt Firefox jij het wordt gerund door een specifieke organisatie. Volgens deze dialoog heeft VeriSign geverifieerd dat we verbonden zijn met de echte PayPal-website, die wordt beheerd door PayPal, Inc.

Wanneer u bent verbonden met een site die een EV-certificaat gebruikt in Chrome, wordt de naam van de organisatie weergegeven in uw adresbalk. Het informatiedialoog vertelt ons dat de identiteit van PayPal is geverifieerd door VeriSign met behulp van een uitgebreid validatiecertificaat.

Het probleem met SSL-certificaten

Jaren geleden, controleerden certificeringsinstanties de identiteit van een website alvorens een certificaat af te geven. De certificeringsinstantie controleert of het bedrijf dat het certificaat heeft aangevraagd, is geregistreerd, belt het telefoonnummer en controleert of het bedrijf een legitieme transactie is die overeenkomt met de website.

Uiteindelijk zijn certificaatautoriteiten begonnen met het aanbieden van "alleen-domein" -certificaten. Deze waren goedkoper omdat het voor de certificaatautoriteit minder werk was om snel te controleren of de aanvrager een specifiek domein (website) bezat. Phishers gebruikten uiteindelijk hiervan. Een phisher kan het domein paypall.com registreren en een domein-alleen certificaat kopen. Wanneer een gebruiker verbinding maakt met paypall.com, geeft de browser van de gebruiker het standaard hangslotsymbool weer, wat een vals gevoel van veiligheid oplevert. Browsers vertoonden niet het verschil tussen een domein-alleen certificaat en een certificaat dat een uitgebreidere verificatie van de identiteit van de website inhield.

Publieke vertrouwen in certificaatautoriteiten om websites te verifiëren is gevallen - dit is slechts een voorbeeld van het feit dat certificaatautoriteiten niet voldoen aan hun due diligence doen. In 2011 ontdekte de Electronic Frontier Foundation dat certificaatautoriteiten meer dan 2000 certificaten hadden uitgegeven voor "localhost" - een naam die altijd naar uw huidige computer verwijst. (Bron) In de verkeerde handen kan een dergelijk certificaat man-in-the-middle-aanvallen eenvoudiger maken.

Hoe uitgebreide validatiecertificaten anders zijn

Een EV-certificaat geeft aan dat een certificaatautoriteit heeft geverifieerd dat de website wordt uitgevoerd door een specifieke organisatie. Als een phisher bijvoorbeeld probeerde een EV-certificaat voor paypall.com te verkrijgen, zou het verzoek worden afgewezen.

In tegenstelling tot standaard SSL-certificaten mogen alleen certificaatautoriteiten die een onafhankelijke audit doorstaan ​​EV-certificaten afgeven. De certificeringsinstantie / Browser Forum (CA / Browser Forum), een vrijwillige organisatie van certificeringsinstanties en browserverkopers zoals Mozilla, Google, Apple en Microsoft, geeft strikte richtlijnen af ​​die alle certificaatautoriteiten die uitgebreide validatiecertificaten afgeven, moeten volgen. Dit voorkomt idealiter dat de certificaatautoriteiten zich bezighouden met een andere "race naar de bodem", waar ze lakse verificatiepraktijken gebruiken om goedkopere certificaten aan te bieden. Kort gezegd, de richtlijnen eisen dat certificaatautoriteiten verifiëren dat de organisatie die vraagt ​​om het certificaat officieel is geregistreerd, dat het eigenaar is van het betreffende domein en dat de persoon die het certificaat aanvraagt ​​namens de organisatie optreedt. Dit houdt in dat u overheidsrecords controleert, contact opneemt met de eigenaar van het domein en contact opneemt met de organisatie om te controleren of de persoon die het certificaat aanvraagt, werkt voor de organisatie.

Een verificatie van het domein alleen kan echter alleen een blik werpen op de whois-records van het domein om te verifiëren dat de registrant dezelfde informatie gebruikt. Het uitgeven van certificaten voor domeinen zoals "localhost" houdt in dat sommige certificaatautoriteiten zelfs niet zoveel verificatie uitvoeren. EV-certificaten zijn fundamenteel een poging om het vertrouwen van het publiek in certificaatautoriteiten te herstellen en hun rol als poortwachters tegen bedriegers te herstellen.


Doe geen moeite: Waarom u uw smartphone niet draadloos wilt opladen

Doe geen moeite: Waarom u uw smartphone niet draadloos wilt opladen

Draadloos opladen wordt overschat, tenminste in de huidige vorm. De droom van draadloos vermogen klinkt geweldig, maar de huidige draadloze oplaadtechnologieën zijn meer "plugloos" dan "draadloos". Ze zijn ook minder handig, langzamer en minder efficiënt dan gewoon je telefoon aansluiten. Laten we eerlijk zijn: Draadloze opladers zijn interessanter als een proof of concept en een glimp van toekomstige technologieën dan dat ze praktisch zijn.

(how-to)

Pakketbeheer gebruiken (ook bekend als OneGet) op Windows 10

Pakketbeheer gebruiken (ook bekend als OneGet) op Windows 10

Windows 10 bevat een pakketbeheertool ingebouwd in PowerShell. In de definitieve versie heet het "PackageManagement", maar het is nog steeds gebaseerd op een open-sourceproject met de naam OneGet. PackageManagement (ook bekend als OneGet) is technisch gezien geen pakketbeheerder. Het is een pakketmanager-manager - een framework en een reeks PowerShell-cmdlets die verschillende typen software van verschillende plaatsen op een gestandaardiseerde manier kunnen beheren.

(how-to)