de.phhsnews.com


de.phhsnews.com / Wie Browser Website-Identitäten verifizieren und vor Betrügern schützen

Wie Browser Website-Identitäten verifizieren und vor Betrügern schützen


Ist Ihnen schon mal aufgefallen, dass Ihr Browser manchmal den Namen einer Website auf einer verschlüsselten Website anzeigt? Dies ist ein Zeichen, dass die Website ein erweitertes Validierungszertifikat hat, das anzeigt, dass die Identität der Website verifiziert wurde.

EV-Zertifikate bieten keine zusätzliche Verschlüsselungsstärke - stattdessen weist ein EV-Zertifikat auf eine umfassende Überprüfung der Identität der Website hin geschehen. Standard-SSL-Zertifikate bieten nur eine sehr geringe Überprüfung der Identität einer Website.

Wie Browser Extended Validation Certificates anzeigen

Auf einer verschlüsselten Website, die kein erweitertes Validierungszertifikat verwendet, sagt Firefox, dass die Website "von (unbekannt) ausgeführt wird. . "

Chrome zeigt nichts anderes an und gibt an, dass die Identität der Website von der Zertifizierungsstelle bestätigt wurde, die das Zertifikat der Website ausgestellt hat.

Wenn Sie mit einer Website verbunden sind, die ein erweitertes Validierungszertifikat verwendet, teilt Firefox dies mit Sie werden von einer bestimmten Organisation betrieben. Laut diesem Dialog hat VeriSign bestätigt, dass wir mit der echten PayPal-Website verbunden sind, die von PayPal, Inc. betrieben wird.

Wenn Sie mit einer Website verbunden sind, die ein EV-Zertifikat in Chrome verwendet, wird der Name der Organisation angezeigt in Ihrer Adressleiste. Der Informationsdialog zeigt an, dass die Identität von PayPal von VeriSign mit einem erweiterten Validierungszertifikat verifiziert wurde.

Das Problem mit SSL-Zertifikaten

Vor einigen Jahren wurde die Identität einer Website vor der Ausstellung eines Zertifikats von Zertifizierungsstellen überprüft. Die Zertifizierungsstelle überprüft, ob das Unternehmen, das das Zertifikat angefordert hat, registriert wurde, ruft die Telefonnummer an und überprüft, ob es sich bei dem Unternehmen um einen legitimen Vorgang handelt, der der Website entspricht.

Schließlich haben Zertifizierungsstellen damit begonnen, "Nur-Domänen" -Zertifikate anzubieten. Diese waren billiger, da es für die Zertifizierungsstelle weniger aufwändig war, schnell zu überprüfen, ob der Anforderer eine bestimmte Domäne (Website) besaß.

Phisher begannen schließlich, davon Gebrauch zu machen. Ein Phisher könnte die Domain paypall.com registrieren und ein Domain-only-Zertifikat erwerben. Wenn ein Benutzer mit paypall.com verbunden ist, zeigt der Browser des Benutzers das Standardsperrsymbol an, was ein falsches Sicherheitsgefühl vermittelt. Browser zeigten keinen Unterschied zwischen einem Domain-only-Zertifikat und einem Zertifikat, das eine umfassendere Überprüfung der Identität der Website beinhaltete.

Vertrauen der Öffentlichkeit in Zertifizierungsstellen zur Überprüfung von Websites - dies ist nur ein Beispiel für fehlgeschlagene Zertifizierungsstellen tun ihre gebührende Sorgfalt. Im Jahr 2011 stellte die Electronic Frontier Foundation fest, dass die Zertifizierungsstellen mehr als 2000 Zertifikate für "localhost" ausgestellt hatten - ein Name, der sich immer auf Ihren aktuellen Computer bezieht. (Quelle) In den falschen Händen könnte ein solches Zertifikat Man-in-the-Middle-Angriffe erleichtern.

Unterschiedliche Validierungszertifikate

Ein EV-Zertifikat gibt an, dass eine Zertifizierungsstelle die Ausführung der Website überprüft hat von einer bestimmten Organisation. Wenn beispielsweise ein Phisher versucht, ein EV-Zertifikat für paypall.com zu erhalten, wird die Anfrage abgelehnt.

Im Gegensatz zu Standard-SSL-Zertifikaten dürfen nur Zertifizierungsstellen, die eine unabhängige Prüfung bestehen, EV-Zertifikate ausstellen. Das Zertifizierungsstellen- / Browserforum (CA / Browser Forum), eine freiwillige Organisation von Zertifizierungsstellen und Browseranbietern wie Mozilla, Google, Apple und Microsoft, gibt strenge Richtlinien vor, denen alle Zertifizierungsstellen, die erweiterte Validierungszertifikate ausstellen, folgen müssen. Dies verhindert idealerweise, dass die Zertifizierungsstellen einen anderen "Wettlauf nach unten" durchführen, wo sie laxe Verifizierungspraktiken verwenden, um billigere Zertifikate anzubieten.

Kurz gesagt fordern die Richtlinien, dass Zertifizierungsstellen überprüfen, ob die Organisation, die das Zertifikat anfordert, offiziell registriert ist. dass es die betreffende Domain besitzt und dass die Person, die das Zertifikat anfordert, im Auftrag der Organisation handelt. Dies beinhaltet das Überprüfen von Regierungsdatensätzen, Kontaktaufnahme mit dem Eigentümer der Domäne und Kontaktaufnahme mit der Organisation, um zu verifizieren, dass die Person, die das Zertifikat anfordert, für die Organisation arbeitet.

Im Gegensatz dazu kann eine Domain-only-Zertifikatsverifizierung nur einen Blick auf die Whois-Datensätze der Domäne beinhalten, um zu verifizieren, dass der Registrant dieselben Informationen verwendet. Das Ausstellen von Zertifikaten für Domains wie "localhost" impliziert, dass einige Zertifizierungsstellen nicht einmal so viel verifizieren. EV-Zertifikate sind grundsätzlich ein Versuch, das öffentliche Vertrauen in Zertifizierungsstellen wiederherzustellen und ihre Rolle als Gatekeeper gegen Betrüger wiederherzustellen.


Warum iPhones sicherer sind als Android-Telefone

Warum iPhones sicherer sind als Android-Telefone

Hier ist ein schmutziges Geheimnis: Die meisten Android-Geräte erhalten keine Sicherheitsupdates. Fünfundneunzig Prozent der Android-Geräte können jetzt über eine MMS-Nachricht kompromittiert werden, und das ist nur der prominenteste Bug. Google hat keine Möglichkeit, Sicherheitspatches auf diese Geräte anzuwenden, und Herstellern und Netzbetreibern ist das egal.

(how-to)

So deaktivieren Sie die Browsererweiterungen dauerhaft für maximale Sicherheit

So deaktivieren Sie die Browsererweiterungen dauerhaft für maximale Sicherheit

Browsererweiterungen können unglaublich nützlich sein, installieren Sie jedoch die falsche und Sie werden sich für Sicherheitsrisiken öffnen. Wenn Sie keine Erweiterungen verwenden (oder jemand, den Sie nicht kennen), können Sie die Erweiterungen wie folgt deaktivieren: Warum Sie Browser-Erweiterungen deaktivieren möchten VERWANDT: Warnung: Ihre Browser-Erweiterungen sind Ausspionieren Sie Wenn Sie Webbrowser-Erweiterungen verwenden und lieben, großartig.

(how-to)