it-swarm-vi.com

Ưu điểm của Chứng chỉ EV là gì?

Những lợi thế khác nhau của việc sử dụng chứng chỉ xác thực mở rộng (EV) so với chứng chỉ thông thường cũng cung cấp mức độ mã hóa tương đối cao như RC4, 128 Bit?

Tôi biết rằng trình duyệt hiển thị cờ màu xanh lá cây cho EV certs. Nhưng có lợi ích nào khác không?

38
Novice User

Chứng chỉ xác thực mở rộng nhằm mục đích hiển thị cho người dùng rõ ràng hơn về tổ chức mà họ được cấp. Các khía cạnh kỹ thuật của chính các chứng chỉ được kết hợp với các đầu mối trực quan trong giao diện người dùng của ứng dụng xác minh chúng: thanh màu xanh lá cây và tên hiển thị bên cạnh thanh vị trí trong trình duyệt.

Ví dụ: chứng chỉ EV tại http://www.Paypal.com/ sẽ làm cho trình duyệt hiển thị thanh màu xanh lá cây và hiển thị "Paypal, Inc." bên cạnh no. Điều này được thiết kế không chỉ để liên kết chứng chỉ với chủ sở hữu tên miền (giống như chứng chỉ được xác thực tên miền tiêu chuẩn), mà còn liên kết nó với một tổ chức vật lý hơn (ở đây, Paypal, Inc.). Để làm điều này, CA phải xác minh rằng tổ chức được đặt tên thực sự là tổ chức sở hữu tên miền.

Cuối cùng, đây là về việc tạo ra một liên kết xác thực hơn giữa tên miền và tên công ty hơn là làm chứng chỉ "an toàn hơn". Từ quan điểm của bộ mật mã (là yếu tố quyết định thuật toán mã hóa và kích thước khóa), chứng chỉ EV không khác với chứng chỉ DV (thanh màu xanh).

Lùi lại một chút, bạn cần nhận ra rằng tính hiệu quả của HTTPS phụ thuộc vào việc người dùng kiểm tra xem nó có được sử dụng đúng không. (Máy chủ không có cách nào để tìm hiểu xem máy khách có phải là nạn nhân của cuộc tấn công MITM hay không, trừ khi sử dụng chứng chỉ ứng dụng khách.) Điều này có nghĩa là người dùng phải:

  • kiểm tra xem HTTPS có được sử dụng khi họ mong đợi nó không,
  • kiểm tra rằng không có cảnh báo,
  • kiểm tra xem trang web họ đang sử dụng có thực sự là trang mà họ dự định truy cập hay không, điều này dẫn đến một vài điểm phụ: [.__.]
    • kiểm tra xem đó có phải là tên miền mà họ mong đợi không
    • kiểm tra xem tên miền có thuộc về công ty mà họ mong đợi không.

Chứng chỉ EV được dự định để giải quyết điểm phụ cuối cùng đó. Nếu bạn đã biết rằng Amazon.com Thuộc về Amazon.com, Inc. hoặc google.com Thuộc về Google Inc., bạn không thực sự cần chúng.

Cá nhân tôi không tin rằng cách tiếp cận này hoàn toàn hiệu quả, vì chúng có thể bị sử dụng sai (xem ví dụ NatWest/RBS bên dưới) và một số CA dường như truyền bá thông tin mơ hồ (và có khả năng gây hiểu lầm) về những gì họ thực sự, trong nỗ lực quảng bá họ.

Nói chung, nếu người dùng của bạn đã biết rằng tên miền của bạn là của bạn, bạn không thực sự cần một tên miền.

Dưới đây là chi tiết hơn từ một câu trả lời trước tôi đã đưa ra cho một câu hỏi tương tự :

[...]

Chứng chỉ xác thực tên miền đảm bảo cho bạn rằng chứng chỉ được cấp cho chủ sở hữu của tên miền đó. Không hơn, nhưng không kém (Tôi giả sử quy trình xác nhận là chính xác ở đây). Trong nhiều trường hợp, điều này là đủ. Tất cả phụ thuộc vào việc trang web bạn đang quảng cáo có cần được liên kết với một tổ chức đã được biết đến ngoại tuyến hay không. Chứng chỉ được xác nhận chống lại một tổ chức (OV và EV certs) chủ yếu hữu ích khi bạn cần buộc tên miền vào một tổ chức vật lý.

Ví dụ: nó hữu ích cho một tổ chức ban đầu được biết đến thông qua tòa nhà của nó (ví dụ: Bank of America) có thể nói rằng chứng chỉ cho bankofamerica.com Thực sự là nơi bạn đã đưa tiền thật của mình. Trong trường hợp này, việc sử dụng chứng chỉ OV hoặc EV là hợp lý. Điều này cũng có thể hữu ích vì có sự mơ hồ về việc tổ chức nào đứng sau tên miền (ví dụ Apple.comApple.co.uk), Điều quan trọng hơn nữa là tên miền tương tự thuộc sở hữu của đối thủ/Kẻ tấn công sử dụng tên tương tự cho mục đích xấu.

Ngược lại, www.google.com là những gì định nghĩa Google với công chúng; Google không cần phải chứng minh rằng google.com Thuộc về Google thực. Do đó, nó sử dụng chứng chỉ được xác thực tên miền (tương tự với Amazon.com).

Một lần nữa, điều này thực sự hữu ích nếu người dùng biết cách kiểm tra điều này. Trình duyệt không thực sự giúp đỡ ở đây. Firefox chỉ nói "được điều hành bởi (không xác định)" nếu bạn muốn biết thêm chi tiết về chứng chỉ tại www.google.com, Mà không thực sự nói điều này có nghĩa là gì.

Chứng chỉ xác thực mở rộng là một nỗ lực để cải thiện điều này, bằng cách làm cho quy trình xác thực của tổ chức trở nên nghiêm ngặt hơn và bằng cách làm cho kết quả hiển thị rõ hơn: thanh màu xanh lá cây và tổ chức rõ hơn.

Thật không may, điều này đôi khi được sử dụng theo cách làm tăng sự nhầm lẫn, tôi nghĩ. Dưới đây là một ví dụ mà bạn có thể tự kiểm tra: một trong những ngân hàng lớn của Vương quốc Anh (NatWest) sử dụng https://www.nwolb.com/ cho các dịch vụ ngân hàng trực tuyến của mình. Rõ ràng là tên miền thuộc về NatWest (người cũng sở hữu tên natwest.co.uk Hợp lý hơn). Tồi tệ hơn, xác nhận mở rộng (nếu bạn kiểm tra tên bên cạnh thanh màu xanh lá cây) được thực hiện đối với "Ngân hàng Hoàng gia Scotland Group plc".

Đối với những người theo dõi tin tức tài chính, điều này hợp lý bởi vì cả RBS và NatWest đều thuộc cùng một nhóm, nhưng về mặt kỹ thuật, RBS và NatWest là đối thủ cạnh tranh (và cả hai đều có chi nhánh trên đường cao tốc ở Anh - mặc dù điều đó sẽ thay đổi). Nếu người dùng của bạn không có kiến ​​thức bổ sung về nhóm nào giao dịch dưới tên nào, thì thực tế là chứng chỉ được cấp cho tên của đối thủ cạnh tranh tiềm năng sẽ gióng lên hồi chuông cảnh báo. Nếu, với tư cách là người dùng, bạn đã thấy một chứng chỉ về gooooogle.com Được cấp cho Microsoft hoặc Yahoo, tuy nhiên, thanh màu xanh lá cây là, bạn không nên coi đây là trang web của Google.

Một điểm cần lưu ý với chứng chỉ EV là cấu hình của chúng được mã hóa cứng vào các trình duyệt . Đây là cài đặt thời gian biên dịch, không thể định cấu hình sau này (không giống như các cửa hàng chứng chỉ tin cậy thông thường, nơi bạn có thể thêm chứng chỉ CA tổ chức của riêng mình chẳng hạn). Từ quan điểm cay độc hơn, một số người có thể coi đây là một cách thuận tiện cho những người chơi chính để giữ một vị trí mạnh mẽ trên thị trường.

43
Bruno

Họ có nhiệm vụ truyền đạt thêm niềm tin cho người dùng rằng cơ quan cấp chứng chỉ đã thực hiện đúng công việc của họ. Tuy nhiên, mục đích chính của chứng chỉ xác nhận mở rộng thực sự chỉ là để tạo thêm doanh thu cho các cơ quan cấp chứng chỉ.

Được rồi, đủ ngớ ngẩn, về cơ bản, họ phải tuân theo các nguyên tắc này trước khi ban hành một: Nguyên tắc chứng chỉ EV v.1. . Nó bao gồm những thứ như yêu cầu xác minh đăng ký và địa chỉ của công ty/tổ chức và để có quyền truy cập vào các khóa ký cần phải xác thực hai yếu tố và mọi thông tin đều được ghi lại một cách tỉ mỉ.

13
ewanm89

Tất cả các cơ quan cấp chứng chỉ (CA) được các nhà cung cấp ứng dụng lớn tin cậy cần tuân theo các Yêu cầu cơ bản do CABForum công bố để cấp chứng chỉ TLS. Các CA muốn cấp chứng chỉ Xác thực mở rộng (EV) phải tuân theo và được kiểm toán hàng năm đối với một bộ hướng dẫn và yêu cầu xác thực bổ sung trước khi chứng chỉ EV của họ được tin tưởng và công nhận bởi bất kỳ trình duyệt nào. CA phát hành chứng chỉ EV phải được liên kết với giá 1 triệu đô la và được yêu cầu nhập tên hợp pháp, địa điểm thành lập, địa chỉ và số đăng ký (đối với các ngân hàng, đôi khi đây là số đăng ký FDIC) trong chứng chỉ. Vì vậy, mặc dù có vẻ như các chứng chỉ EV chỉ đơn giản là một cách để CA tính tiền nhiều hơn, nhưng có nhiều rủi ro và nghiên cứu hơn để xác thực tính xác thực và ủy quyền của người đăng ký.

0
sophist2b