브라우저가 웹 사이트 ID를 확인하고 사기꾼을 보호하는 방법
브라우저에서 암호화 된 웹 사이트에 웹 사이트의 조직 이름을 표시하는 경우가 있습니다. 이것은 웹 사이트가 확장 유효성 확인 인증서를 가지고 있다는 표시입니다. 이는 웹 사이트의 신원이 확인되었음을 나타냅니다..
EV 인증서는 추가 암호화 강도를 제공하지 않으며 대신 EV 인증서는 웹 사이트의 신원에 대한 광범위한 검증이 이루어 졌음을 나타냅니다. 표준 SSL 인증서는 웹 사이트의 신원에 대한 검증을 거의 제공하지 않습니다..
브라우저가 확장 유효성 검사 인증서를 표시하는 방법
확장 된 유효성 확인 인증서를 사용하지 않는 암호화 된 웹 사이트에서 Firefox는 웹 사이트가 "(알 수 없음) 실행"이라고 말합니다.
Chrome은 다르게 표시하지 않으며 웹 사이트의 인증서를 발급 한 인증 기관에서 웹 사이트의 신원을 확인했다고 말합니다..
확장 된 유효성 확인 인증서를 사용하는 웹 사이트에 연결되면 Firefox는 특정 조직에서 실행되었음을 알려줍니다. 이 대화 상자에 따르면 VeriSign은 PayPal, Inc에서 운영하는 실제 PayPal 웹 사이트에 연결되어 있음을 확인했습니다..
Chrome에서 EV 인증서를 사용하는 사이트에 연결하면 조직의 이름이 주소 표시 줄에 나타납니다. 정보 대화 상자는 PayPal의 신원이 VeriSign에 의해 확장 유효성 확인 인증서를 사용하여 확인되었음을 알려줍니다.
SSL 인증서 문제
수년 전 인증 기관은 인증서를 발급하기 전에 웹 사이트의 신원을 확인하는 데 사용했습니다. 인증 기관은 인증서를 요청한 비즈니스가 등록되었는지 확인하고 전화 번호로 전화를 걸고 해당 비즈니스가 웹 사이트와 일치하는 합법적 인 작업인지 확인합니다.
결국 인증 기관은 "도메인 전용"인증서를 제공하기 시작했습니다. 이것은 인증 기관이 요청자가 특정 도메인 (웹 사이트)을 소유하고 있는지 신속하게 확인하는 것이 적어서 비용이 적게 듭니다..
피싱 공격자는 결국이 점을 이용하기 시작했습니다. 피셔는 도메인 paypall.com을 등록하고 도메인 전용 인증서를 구입할 수 있습니다. 사용자가 paypall.com에 연결하면 사용자의 브라우저에 표준 잠금 아이콘이 표시되어 잘못된 보안 감각을 제공합니다. 브라우저는 도메인 전용 인증서와 웹 사이트의 신원에 대한보다 광범위한 검증을 포함하는 인증서 간의 차이점을 표시하지 않았습니다..
웹 사이트를 확인하는 인증 기관에 대한 대중의 신뢰 - 이는 인증 기관이 실사를하지 않는 한 가지 예일뿐입니다. 2011 년 전자 프론티어 재단 (Electronic Frontier Foundation)은 인증 기관이 "localhost"라는 인증서를 항상 발급했음을 발견했습니다.이 이름은 항상 현재 컴퓨터를 나타내는 이름입니다. (출처) 잘못된 인증서를받은 사람은 그러한 인증서를 사용하여 man-in-the-middle 공격을보다 쉽게 만들 수 있습니다.
확장 인증 인증서의 차이점
EV 인증서는 인증 기관이 해당 웹 사이트가 특정 조직에서 실행되고 있음을 확인했음을 나타냅니다. 예를 들어 피싱 사가 paypall.com에 대한 EV 인증서를 얻으려고하면 요청이 거부됩니다.
표준 SSL 인증서와 달리 독립 감사를 통과 한 인증 기관 만 EV 인증서를 발급 할 수 있습니다. Mozilla, Google, Apple 및 Microsoft와 같은 인증 기관 및 브라우저 공급 업체의 자발적 기관인 인증 기관 / 브라우저 포럼 (CA / Browser Forum)은 확장 된 유효성 인증서를 발급하는 모든 인증 기관이 따라야한다는 엄격한 지침을 제시합니다. 이것은 이상적으로 인증 기관이 더 낮은 인증서를 제공하기 위해 느슨한 검증 방법을 사용하는 또 다른 "경쟁"에 관여하는 것을 방지합니다.
요컨대 지침에서는 인증 기관이 인증서를 요청한 조직이 공식적으로 등록되었는지, 해당 도메인을 소유하고 있는지, 그리고 인증서를 요청한 사람이 조직을 대신하여 행동하는지 확인해야한다고 요구합니다. 여기에는 정부 기록 확인, 도메인 소유자와의 연락 및 조직에 연락하여 인증서를 요청한 사람이 조직에서 작동하는지 확인하는 작업이 포함됩니다.
대조적으로 도메인 만의 인증서 확인은 등록자가 동일한 정보를 사용하고 있는지 확인하기 위해 도메인의 whois 레코드를 한 눈에 볼 수 있습니다. "localhost"와 같은 도메인에 대한 인증서 발급은 일부 인증 기관이 그다지 검증을 수행하지 않는다는 것을 의미합니다. EV 인증서는 근본적으로 인증 기관에 대한 대중의 신뢰를 복원하고 가짜에 대한 게이트 키퍼 역할을 복원하려는 시도입니다.