בסופו של דבר באחריות המשתמש של הלקוח לבדוק את תקפות האישור. כספק שירות, מלבד חינוך המשתמש אם אתה יכול, אין הרבה מה שאתה יכול לעשות לצדך: אינך שולט אילו אישורים מהימנים על ידי הדפדפן של המשתמש ואינך יכול לדעת אם המשתמשים אימתו שהם משתמשים ב- SSL / TLS כראוי ולא התעלמו מהאזהרות הפוטנציאליות.
מה שאתה צריך לנסות להעריך הוא איך המשתמש שלך הולך להגיב ולבדוק את האישור שלך. אני מניח שקהל היעד באתר שלך אינו בהכרח מומחה או מומחה PKI. כיצד המשתמשים שלך יגיבו יהיה תלוי במה שהם למדו על תעודות. למרבה הצער, יש הרבה מידע סותר או מעורפל בנושא זה שם, אפילו שמקורו בעצמם CA (זכרו שלע"מ יש אינטרס אינטרס לגרום ללקוחות שלהם לרצות לרכוש תעודות יקרות יותר).
מצבי אימות
המטרה הכללית של אישור (מפתח ציבורי) היא לאגד זהות למפתח ציבורי (לכן לאגד את הזהות לשרת באמצעות המפתח הפרטי המתאים בלחיצת היד SSL / TLS).
לוקאס קאופמן כבר כתב תשובה המפרטת את ההבדל בין סרטי אימות תחום. , תעודות מאומתות ארגון ותעודות אימות מורחבות. השאלה האמיתית שאתה צריך לשאול את עצמך היא מה אתה מנסה להוכיח למשתמש.
ההבדל בין סוגים אלה של אישורים מגדירים את אותה זהות.
האישורים מאומתים הדומיין מבטיחים לך שהאישור הונפק לבעלים של אותו דומיין. לא יותר, אבל לא פחות (אני מניח שהליך האימות היה נכון כאן). במקרים רבים זה מספיק. הכל תלוי אם האתר שאתה מקדם צריך להיות מקושר למוסד שכבר לא ידוע באופן מקוון. אישורים המאומתים מול ארגון (תעודות OV ו- EV) שימושיים בעיקר כאשר אתה צריך לקשור את התחום גם לארגון פיזי.
לדוגמה, זה שימושי עבור מוסד שהיה ידוע בתחילה באמצעות בניין (למשל בנק אוף אמריקה) כדי להיות מסוגל לומר שאישור עבור bankofamerica.com
אכן מיועד למקום בו נתת את הכסף הפיזי שלך. במקרה זה, הגיוני להשתמש בתעודת OV או EV. זה יכול להיות שימושי גם אם יש עמימות לגבי איזה מוסד עומד מאחורי שם הדומיין (למשל apple.com
ו- apple.co.uk
), וזה חשוב עוד יותר הוא שם התחום הדומה נמצא בבעלות יריב / תוקף המשתמש בדמיון השם למטרות גרועות.
לעומת זאת, www.google.com
הוא מה מגדיר את גוגל לציבור; לגוגל אין צורך להוכיח ש google.com
שייך לגוגל האמיתי. כתוצאה מכך הוא משתמש באישור מאומת דומיין (אותו הדבר עבור amazon.com
).
שוב, זה ממש שימושי אם המשתמש יודע לבדוק זאת. דפדפנים לא ממש עוזרים כאן. פיירפוקס פשוט אומר "שמנוהל על ידי (לא ידוע)" אם אתה רוצה פרטים נוספים על תעודת זהות בכתובת www.google.com
, מבלי לומר באמת מה הכוונה בזה.
אישורי אימות מורחב הם ניסיון לשפר זאת על ידי הקפדה על הליך אימות הארגון ועל ידי הפיכת התוצאה לגלויה יותר: סרגל ירוק וארגון גלוי יותר.
למרבה הצער, לפעמים משתמשים בזה בדרך שמגבירה את הבלבול, אני חושב. הנה דוגמה שתוכלו לבדוק בעצמכם: אחד הבנקים הגדולים בבריטניה (NatWest) משתמש ב
https://www.nwolb.com/
לצורך ההפעלה שלה- שירותי בנקאות קו. זה רחוק מלהיות ברור ששם הדומיין שייך ל- NatWest (שאף הוא בעל שם הגיוני יותר
natwest.co.uk
, אגב). גרוע מכך, האימות המורחב (אם תבדוק את השם לצד הסרגל הירוק) מתבצע כנגד "Royal Bank of Scotland Group plc":
למי שעוקב אחר החדשות הכספיות, זה הגיוני מכיוון שגם RBS וגם NatWest שייכים לאותה קבוצה, אך מבחינה טכנית, RBS ו- NatWest הם מתחרים (ולשניהם סניפים ברחוב הראשי בבריטניה - אם כי זה הולך אם למשתמש שלך אין את הידע הנוסף הזה לגבי אילו קבוצות נסחרות תחת איזה שם, העובדה שמונפק אישור לשם של מתחרה פוטנציאלי צריכה להתקשר בפעמוני אזעקה. אם כמשתמש ראית אישור ב- gooooogle.com
שהונפק למיקרוסופט או יאהו, אולם הסרגל ירוק ככל שיהיה, אתה לא צריך להתייחס לזה כאל האתר של גוגל.
אחד יש לזכור עם אישורי EV היא שהתצורה שלהם מקודדת בדפדפנים. זוהי הגדרה מסוג הידור, שלא ניתן להגדיר אותה בהמשך (בניגוד לחנויות אישורים מהימנות רגילות, בהן תוכל להוסיף תעודת CA מוסדית משלך, למשל). מנקודת מבט צינית יותר, יש שיכולים להחשיב זאת כדרך נוחה עבור השחקנים העיקריים לשמור על מעמדה חזקה בשוק.
חותמות
חלק מקבוצות הרשות מציעות גם שונות " חותמות "שתוכלו להכניס לאתר שלכם, בדרך כלל עם צבעים שונים בהתאם לסוג האישור שרכשתם. נראה שהם נועדו כצעד נוסף למניעת רשויות בעלות שם פחות מוכרות להנפיק תעודה תקפה לצד הלא נכון.
עד כמה שידוע לי, אלה חסרי תועלת לחלוטין מבחינה ביטחונית. ואכן, כאשר תלחץ עליו כדי לאמת את האישור שלך (לדוגמה, אם תלחץ על הלוגו "מאמת מאובטח" של GoDaddy, בסופו של דבר אתה נמצא על דף זה ), שום דבר לא אומר לך שהאישור שאתה רואה זהה לזה שנשלח לשירות שמאחורי seal.godaddy.com
. אכן, אם היה בינך לבין example.com
תוקף MITM, עם אישור תקף אחר ל- example.com
שהונפק על ידי CA מרושל, התוקף MITM לא היה בין example.com
ו- seal.godaddy.com
. אלא אם כן המשתמש באמת יסתכל על האישור בפירוט, החותם לא היה עוזר מאוד (תוך התחשבות בכך שהתוקף יכול פשוט להסיר את קישור החותם או להפנות אותו אל אחד מה- CA השני).
ביטוחים
תעודות מסוימות מגיעות גם עם ביטוח כלשהו. היית מקבל פיצוי כלשהו אם משהו ישתבש במהלך עסקה עד לסכום מוגבל. לא ברור לי מה יהיו התנאים לתבוע ביטוח כזה.
באיזה אחד לבחור?
בסופו של יום, רוב המשתמשים שומרים על רשימת ברירת המחדל של רשות האישורים המהימנה. אישורים שמצורפים למערכת ההפעלה או לדפדפן שלהם. מכיוון שממשק המשתמש אינו מבחין בין רשימות CA בצורה ברורה מאוד, האבטחה הכוללת כפי שהיא נראית על ידי המשתמש (שאחריותו לבדוק את האישור) תונע על ידי המכנה המשותף הנמוך ביותר בכל קטגוריה (פס כחול וירוק).
אם חשוב לקשור את שם הדומיין לארגון "לבנים וטיח", כדאי לשקול תעודת EV. אני באופן אישי לא חושב שהאופן שבו ממשקי משתמש מבחינים בין סרטי DV ו- OV הוא מספיק טוב כדי להפוך את הצגת שם הארגון בסרגל כחול למועיל.
אם הדומיין שלך מוכר בעיקר (או אם אין כלל עמימות שהדומיין הוא שלך, מנקודת מבטו של המשתמש), עבור לכל תעודת סרגל כחול. (בדוק את פרטי הביטוח אם זה רלוונטי לאתר שלך.)