Weryfikacja właścicieli certyfikatów EV SSL nie jest znacząco lepsza niż dla właścicieli zwykłych domen

W zeszłym roku odkryto lukę pozwalającą podsłuchiwać transmisję przez SSL o nazwie BEAST, co rzuciło cień na uznawane za skuteczne do tej pory zabezpieczenia – SSL używanego w połączeniu z certyfikowanym serwerem. Okazuje się jednak, że problem luk co prawda dosyć szybko da się naprawić, jednak o wiele większe trudności sprawi wkrótce przekonanie ludzi, że certyfikaty wciąż są coś warte.

Bill Horne z William Waren Consulting uważa, że weryfikacja osób zgłaszających się po certyfikaty jest niewystarczająca. Firmy wydające certyfikaty poprzestają na cyfrowej weryfikacji zgłoszeń, jednocześnie nie upewniając się, że osoba podająca się za kogoś, jest nim w rzeczywistości.

W konsekwencji na rynku są dostępne certyfikaty za kilkadziesiąt złotych, ponieważ ich wystawcy decydują, że można proces weryfikacji zautomatyzować, obniżając w ten sposób koszty.

Aby dostać certyfikat o wyższym niż standardowy poziomie, tzw. EV SSL (Extended Validation) należy tylko przez jakiś dokument udowodnić swoje powiązanie z firmą, którą się reprezentuje. To niewiele więcej, niż wymaga się przy rejestrowaniu zwykłej domeny, szczególnie, że zdobycie takich dokumentów nie stanowi dla cyberprzestępców problemu.

W takiej sytuacji więc zielony pasek w polu adresu nie oznacza więc, że strona jest na pewno tą, za którą się podaje. Oprócz tego trzeba też spojrzeć na wiarygodność wystawcy certyfikatu i jego procedurę weryfikacji właścicieli stron.

źródło: darkreading.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

skomentuj »

Komentarze

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.