it-swarm-tr.com

EV Sertifikasının avantajları nelerdir?

RC4, 128 Bit gibi nispeten yüksek derecede şifreleme sağlayan normal sertifikalardan daha genişletilmiş doğrulama (EV) sertifikaları kullanmanın çeşitli avantajları nelerdir?

Tarayıcının EV sertifikaları için yeşil bayrak gösterdiğini biliyorum. Fakat bundan başka bir faydası var mı?

38
Novice User

Genişletilmiş Doğrulama sertifikaları, kullanıcıya verildikleri kurumu daha görünür bir şekilde göstermeyi amaçlamaktadır. Sertifikaların kendilerinin teknik yönleri, onları doğrulayan uygulamanın kullanıcı arayüzünde görsel ipuçları ile birleştirilir: yeşil çubuk ve tarayıcıdaki konum çubuğunun yanında görünen bir ad.

Örneğin, http://www.Paypal.com/ adresindeki EV sertifikası, tarayıcının yeşil bir çubuk göstermesini ve "Paypal, Inc. " onun yanında. Bu, yalnızca sertifikayı etki alanı sahibine (standart etki alanı onaylı sertifikalarda olduğu gibi) bağlamak için değil, aynı zamanda daha fiziksel bir kuruma (burada, Paypal, Inc.) bağlamak için tasarlanmıştır. Bunu yapmak için CA, adlandırılan kurumun gerçekten de etki alanına sahip olduğunu doğrulamalıdır.

Sonuçta bu, "daha güvenli" sertifikalar yapmaktan ziyade alan adı ile şirket adı arasında daha doğrulanmış bir bağlantı oluşturmakla ilgilidir. Şifreleme paketi açısından (şifreleme algoritmasını ve anahtar boyutunu belirleyen şey budur), EV sertifikaları DV sertifikalarından (mavi çubuk) farklı değildir.

Biraz geri adım attığınızda, HTTPS'nin etkinliğinin kullanıcının doğru kullanıldığını kontrol etmesine bağlı olduğunu fark etmeniz gerekir. (Sunucunun, istemci sertifikaları da kullanmadıkça istemcinin bir MITM saldırısına maruz kalıp kalmadığını öğrenmesi mümkün değildir.) Bu, kullanıcıların şunları yapması gerektiği anlamına gelir:

  • hTTPS'nin olmasını beklediklerinde kullanıldığını kontrol edin,
  • uyarı olmadığını kontrol edin,
  • kullandıkları web sitesinin gerçekten ziyaret etmek istedikleri web sitesi olup olmadığını kontrol edin, bu da birkaç alt noktaya yol açar:
    • bekledikleri alan adı olup olmadığını kontrol ederek,
    • alan adının bekledikleri şirkete ait olduğunu kontrol etmek.

EV sertifikaları bu son alt noktayı çözmeyi amaçlamaktadır. Amazon.com Uygulamasının Amazon.com, Inc.'e ait olduğunu veya google.com Google Inc.'e ait olduğunu zaten biliyorsanız, onlara gerçekten ihtiyacınız yoktur.

Kişisel olarak bu yaklaşımın tamamen işe yaradığından emin değilim, çünkü kötüye kullanılabilirler (aşağıdaki NatWest/RBS örneğine bakın) ve bazı CA'lar, gerçekte ne olduklarına dair belirsiz (ve potansiyel olarak yanıltıcı) bilgileri teşvik etmek amacıyla onlar.

Genel olarak, kullanıcılarınız zaten alan adınızın size ait olduğunu biliyorsanız, gerçekten bir tanesine ihtiyacınız yoktur.

Benzer bir soruya verdiğim önceki yanıttan daha fazla ayrıntı :

[...]

Etki alanı onaylı sertifikalar, sertifikanın söz konusu etki alanının sahibine verildiğini garanti eder. Artık yok, daha az değil (doğrulama prosedürünün burada doğru olduğunu varsayıyorum). Birçok durumda, bu yeterlidir. Her şey, tanıttığınız web sitesinin zaten iyi bilinen bir kuruma bağlı olması gerekip gerekmediğine bağlıdır. Bir kuruluşa (OV ve EV sertifikaları) karşı doğrulanan sertifikalar, etki alanını fiziksel bir kuruluşa da bağlamanız gerektiğinde yararlıdır.

Örneğin, başlangıçta binası aracılığıyla bilinen bir kurumun (örneğin Bank of America) fiziksel paranızı verdiğiniz yer için bankofamerica.com Sertifikasının gerçekten olduğunu söyleyebilmesi yararlıdır. Bu durumda, bir OV veya EV sertifikası kullanmak mantıklıdır. Bu aynı zamanda, alan adının arkasında hangi kurumun (örneğin Apple.com Ve Apple.co.uk) Olduğu konusunda belirsizlik olması da yararlı olabilir, bu da benzer alan adının bir rakibe/saldırganı kötü amaçlar için benzerlik adını kullanarak.

Buna karşılık, www.google.com Google'ı herkese açık olarak tanımlar; Google'ın google.com İfadesinin gerçek Google'a ait olduğunu kanıtlamasına gerek yoktur. Sonuç olarak, etki alanı onaylı bir sertifika kullanıyor (Amazon.com İçin aynı).

Yine, kullanıcı bunu nasıl kontrol edeceğini biliyorsa gerçekten yararlıdır. Tarayıcılar burada gerçekten yardımcı olmuyor. Firefox, www.google.com Sitesindeki sertifika hakkında daha fazla ayrıntı istiyorsanız, bunun ne anlama geldiğini söylemeden "hangisi tarafından (bilinmiyor)" diyor.

Genişletilmiş doğrulama sertifikaları, kuruluş doğrulama yordamını daha katı hale getirerek ve sonucu daha görünür hale getirerek bunu iyileştirme girişimidir: yeşil çubuk ve daha görünür kuruluş.

Ne yazık ki, bu bazen karışıklığı artıracak bir şekilde kullanılıyor bence. İşte kendiniz kontrol edebileceğiniz bir örnek: büyük İngiltere bankalarından (NatWest) biri, https://www.nwolb.com/ hat bankacılık hizmetleri. Alan adının NatWest'e ait olduğu açıktır (bu arada daha mantıklı natwest.co.uk Adına da sahiptir). Daha da kötüsü, genişletilmiş doğrulama (yeşil çubuğun yanındaki adı kontrol ederseniz) "Royal Bank of Scotland Group plc" ye karşı yapılır.

Finansal haberleri takip edenler için, hem RBS hem de NatWest aynı gruba ait olduğu için mantıklıdır, ancak teknik olarak, RBS ve NatWest rakiplerdir (ve her ikisi de İngiltere'de yüksek caddede şubeleri vardır - bu değişecektir). Kullanıcınız hangi grupların hangi isim altında ticaret yaptığı hakkında fazla bilgiye sahip değilse, potansiyel bir rakibin adına sertifika verilmesi gerçeği alarm zillerini çalmalıdır. Kullanıcı olarak, Microsoft veya Yahoo'ya verilen gooooogle.com Sertifikasını gördüyseniz, ancak çubuk ne kadar yeşilse, bunu Google'ın sitesi olarak görmemelisiniz.

EV sertifikalarını akılda tutması gereken bir nokta, yapılandırmasının tarayıcılara sabit olarak kodlanmış olmasıdır . Bu, daha sonra yapılandırılamayan bir derleme zamanı ayarıdır (örneğin, kendi kurumsal CA sertifikanızı ekleyebileceğiniz normal güvenilir sertifika depolarının aksine). Daha alaycı bir bakış açısından, bazıları bunu ana oyuncuların pazarda güçlü bir pozisyonda tutmaları için uygun bir yol olarak düşünebilir.

43
Bruno

Sertifika yetkilisinin işini düzgün şekilde yaptığı konusunda kullanıcıya ekstra güven vermeleri beklenir. Ancak, genişletilmiş doğrulama sertifikalarının temel amacı, yalnızca sertifika yetkilileri için ekstra gelir elde etmektir.

Tamam, yeterince sinsi, temelde bir tane vermeden önce bu yönergeleri takip etmeleri gerekiyor: EV Sertifika Kuralları v.1. . Şirket/kuruluş kaydının ve adresinin doğrulanmasını gerektiren şeyleri kapsar ve imzalama anahtarlarına erişmek için iki faktörlü kimlik doğrulaması gerekir ve her şey titizlikle kaydedilir.

13
ewanm89

Büyük uygulama sağlayıcıları tarafından güvenilen tüm sertifika yetkililerinin (CA'lar) TLS sertifikalarının verilmesi için CABForum tarafından yayınlanan Temel Gereksinimleri izlemesi gerekir. Genişletilmiş Doğrulama (EV) sertifikaları vermek isteyen CA'lar, EV sertifikalarına güvenilmeden ve tarayıcılardan herhangi biri tarafından tanınmadan önce ek yönergeler ve doğrulama gereksinimleri kümesini izlemeli ve yıllık olarak denetlenmelidir. EV sertifikaları veren CA'ların 1 milyon ABD doları tutarında bağlanması gerekir ve sertifikaya yasal adı, kuruluş yerini, adresi ve kayıt numarasını (bankalar için bu bazen FDIC kayıt numarasıdır) girmeleri gerekir. Dolayısıyla, EV sertifikaları CA'ların daha fazla para talep etmesinin bir yolu gibi görünse de, abonenin gerçekliğini ve yetkilendirmesini doğrulamaya yönelik daha fazla risk ve araştırma var.

0
sophist2b