Diciamo che possiedo un sito web che dice, citiibank.com. (extra i) Le autorità emittenti dei certificati rilasciano un certificato https al sito? Per quello che ne sanno è un sito web valido, il cui nome sembra essere simile a un altro sito web. C'è qualche convalida delle credenziali del sito web prima di rilasciare i certificati?
Il contesto per chiedere questo è dal mio uso tipico di siti sicuri, vedo il lucchetto e generalmente procedo.
La risposta breve: se possiedi un dominio puoi ottenere un certificato per quel dominio, punto. La somiglianza con un altro dominio è irrilevante.
La domanda più grande sembra essere "che tipo di guardare una pagina https devo fare per assicurarmi che sia davvero la pagina che penso sia prima di inserire le mie credenziali".
La risposta breve è che dovresti cercare la barra degli indirizzi per diventare verde, indicando un certificato EV (vedi sotto). Potresti considerare addizionalmente usando qualcosa sulla falsariga del progetto Perspectives ( site ) che aggira il sistema CA e è vulnerabilità e fornisce un controllo indipendente.
Ci sono alcune cose sui certificati che dovresti sapere per capire meglio questa risposta:
Ci sono in effetti almeno tre diversi livelli di certificato https (vedi qui per esempio, e qui per un elenco più completo dei tipi di certificato) :
Un certificato DV mostrerà il lucchetto nel tuo browser. Quando una CA emette un certificato DV, afferma che la persona con cui ha ottenuto il certificato ha il controllo del nome di dominio in questione. Questo è tutto. Ciò può essere certificato, ad esempio, da un ciclo di e-mail a, ad esempio, da [email protected] o dal CV che richiede che alcune informazioni casuali vengano inserite in una pagina specifica di quel dominio.
Un certificato OV richiede un controllo maggiore di quello e un certificato EV richiede un controllo ancora maggiore. Quando si rilascia un certificato EV, la CA afferma che l'entità nominata nel certificato esiste effettivamente e che qualcuno in quella società ha effettivamente richiesto il certificato. Cose come il numero DUNS per la compagnia vengono controllate e controllate.
Un certificato EV di solito trasforma la barra degli indirizzi in verde in qualche modo. Questo ti dà tutta la sicurezza che puoi ottenere dal sistema CA a cui il server web con cui stai parlando è quello che pensi sia (se una CA attendibile dal tuo browser ha rilasciato un certificato falso per quel sito in cui ti trovi ancora problemi - da qui il problema con il sistema CA).
In modo confuso, i certificati OV spesso non hanno alcun modo speciale per distinguerli dai certificati DV. Sigh.
Si noti che il progetto Prospettive non è infallibile. Lo uso da solo, e riporta costantemente che google viene impersonato ogni volta che mi collego. Questo perché Google modifica i loro certificati così rapidamente e ne ha così tanti, non a causa di un attacco reale. Tuttavia, per molti siti fornisce un utile doppio controllo.
Dipende dalla CA e dal tipo di certificato. I certificati ordinari vengono emessi subito dopo aver verificato che controlli il dominio in questione; non c'è traccia ulteriore (questo è il modo in cui, tra l'altro, vengono emessi certificati StartSSL gratuiti: essi verificano che tu possa ricevere posta ad un indirizzo tradizionalmente controllato dall'amministratore di sistema). Alcuni certificati implicano il rilascio a un'organizzazione specifica, e in tal caso seguono anche e si assicurano di avere una società reale con il nome che rivendichi. Allo stesso modo, se un essere umano è coinvolto nel rilascio del certificato, allora potrebbero diventare sospettosi indipendentemente dal tipo di certificato. Tuttavia, a causa del modo in cui le CA funzionano, è sufficiente che one sia disposto a rilasciare un certificato e StartSSL lo faccia. Non fidarti dei certificati HTTPS per assicurarti di essere nell'URL giusto.
Se possiedi un dominio molto simile a un altro, puoi comunque ottenere il tuo SSL. Sarà rilasciato a te, come proprietario, e non all'altra entità. Mentre non sono sicuro che citiibank.com sia l'esempio migliore, ci sono numerosi siti simili là fuori a causa del fatto che i nomi comuni sono i domini di scelta. Se un tizio di nome Bob possiede bob.com e ha un SSL, non ci dovrebbero essere motivi per cui il proprietario del ristorante di Bob non possa avere un SSL su bobs.com.
Leggi altre domande sui tag tls