Сертификаты расширенной проверки («EV») являются уникальным типом сертификата, выдаваемого удостоверяющими центрами после более тщательной проверки объекта, запрашивающего сертификат. В обмен на эту более строгую проверку, браузеры показывают специальный индикатор, например, зеленую полосу, содержащую название компании, или, в случае Safari, полностью заменяют URL на название компании.
Как правило, этот процесс работает достаточно хорошо, и ошибочно выпущенных сертификатов немного. Однако проблем хватает с лихвой. EV сертификаты содержат информацию о юридическом лице, стоящем за сертификатом, но не более того. Наименование юридического лица, однако, может быть достаточно вариативным; Например, Джеймс Бертон недавно получил EV сертификат для своей компании «Identity Verified»(англ. Подлинность проверена — прим. перев.). К сожалению, у пользователей просто нет возможности увидеть и разобраться в таких особенностях, и это создает значительный простор для фишинга.
Сегодня я продемонстрирую еще одну проблему с сертификатами EV: повторяющиеся названия компаний. В частности, этот сайт использует сертификат EV для «Stripe, Inc», который был законно выпущен Comodo. Однако, когда вы слышите «Stripe, Inc», вы, вероятно, думаете о платежной системе, зарегистрированной в штате Делавэр. Однако на этом сайте, вы взаимодействуете с «Stripe, Inc», зарегистрированной в штате Кентукки. Эта проблема также может возникать для фирм с одинаковым названием в разных странах.
Как пользователь может определить, с каким сайтом он работает? Браузеры скрывают эту информацию, в лучшем случае показывают страну регистрации. Очевидно, здесь и настоящий и поддельный Stripe находятся в одной и той же стране. При наличии достаточно щелчков мыши вы можете открыть средство просмотра системных сертификатов или заставить свой браузер показать вам город и штат. Но все это не поможет простым пользователям, и они, скорее всего, просто слепо доверятся ярко-зеленому индикатору.
Давайте посмотрим на пользовательские интерфейсы браузеров. В Safari URL-адрес полностью скрыт! Это означает, что злоумышленнику даже не нужно регистрировать похожий домен для фишинга. Можно регистрировать любой домен, и Safari с удовольствием отобразит его красивым зеленым индикатором. Ниже приведен снимок экрана с этого сайта. Трудно поверить, да?
С браузером Chrome история немного лучше, но только если вы потрудитесь посмотреть полный URL-адрес. У Chrome нет собственного способа просмотра чего-либо, кроме названия компании и страны сертификата. Новые версии Chrome откроют средство просмотра системных сертификатов двумя щелчками мыши (в старых версиях просмотр сертификата полностью удален (это не совсем так — прим. перев.)), но средство просмотра системных сертификатов бесполезно для любого обычного пользователя.
Firefox ведет себя аналогично Chrome, но позволяет пользователям просматривать город и штат регистрации двумя щелчками мыши. Это по-прежнему бессмысленно; даже если простые пользователи потрудятся это проверить, им еще нужно знать, где находится компания, в которой они оформляют заказ, и убедиться в соответствии.
Один из вопросов может заключаться в том, насколько практична эта атака для реального злоумышленника, который хочет получить чьи-то данные фишингом. Во-первых, от регистрации юридического лица до выдачи EV сертификата я потратил менее часа моего времени и около 177 долларов. 100 долларов США — это регистрация компании, а сертификат — 77 долларов США. С момента регистрации до выдачи сертификата прошло около 48 часов.
Основное преимущество EV сертификатов, на которое делают упор сторонники расширенной проверки, заключается в том, что получение EV сертификатов оставляет за собой цепочку бумажных следов ведущих к личности злоумышленника. Тем не менее, в этом процессе проверка личности минимальна. Dun & Bradstreet была единственной организацией, которая пыталась проверить мою личность и сделала это несколькими тривиальными вопросами. Покупка удостоверения и ответы на общие проверочные вопросы не являются ни трудными, ни дорогостоящими действиями.
Попыток проверки личности со стороны штата Кентукки или агента, которого я использовал в этом процессе, не было. Это типично при регистрации компании в Соединенных Штатах. Таким образом, злоумышленники могут легко получать EV сертификаты. Некоторые злоумышленники могут прилагать больше усилий, например, отправлять фишинговые SMS сообщения. Mobile Safari на iOS скроет URL-адрес после его открытия и, значительно увеличит вероятность успеха при сборе учетных данных. И, конечно, нет способа просмотреть сертификат с помощью Mobile Safari.
После того, как Джеймс Бертон получил сертификат «Identity Verified», последовало обсуждение через публичный список рассылки CA/Browser Forum, cabfpub. Некоторые идеи были отброшены, главным образом сосредоточились вокруг добавления более сильной привязки к человеку, запрашивающему сертификат, чтобы сдержать преступников от получения этих сертификатов. Тем не менее, есть надежда, что в��е эти «костыли», возможно, остановят преступников желающих получить сертификат расширенной проверки.
Одно из предлагаемых решений заключалось в том, чтобы потребовать от заявителей какой-либо формы личной проверки, будь то виртуально или в реальной жизни, и требовать предоставления идентификационной информации для подтверждения их личности. Хотя это и может помешать некоторым злоумышленникам, но у тех, кто занимается более целенаправленными или громкими атаками, не будет проблем потратить немного времени для подделки идентифицирующих документов или попытаться обойти другие методы проверки.
Стоит отметить, что Базовые Требования — набор стандартов, которым должны соответствовать доверенные сертификаты, — включают Запросы Сертификатов Высокого Риска (High Risk Certificate Requests). Тем не менее, определение термина Запрос Сертификата Высокого Риска сформулировано не очень четко и в некотором смысле бесполезно. Запрос «может включать имена с повышенным риском для фишинга», но функция определения делегирована удостоверяющим центрам, которые должны поддерживать список целей для фишинга в актуальном состоянии.
Несомненно можно предложить много решений этой проблемы. Но в конечном счете, любой метод, основанный на том, что пользователям показывается название юридического лица, является полностью ущербным. В результате того, что EV сертификаты работают именно так, у браузеров нет особых возможностей исправить проблему. Тем не менее, они могут предпринять шаги, чтобы гарантировать, что сертификаты EV не заменяют другие важные части пользовательского интерфейса, как это делает Safari.
Как правило, этот процесс работает достаточно хорошо, и ошибочно выпущенных сертификатов немного. Однако проблем хватает с лихвой. EV сертификаты содержат информацию о юридическом лице, стоящем за сертификатом, но не более того. Наименование юридического лица, однако, может быть достаточно вариативным; Например, Джеймс Бертон недавно получил EV сертификат для своей компании «Identity Verified»(англ. Подлинность проверена — прим. перев.). К сожалению, у пользователей просто нет возможности увидеть и разобраться в таких особенностях, и это создает значительный простор для фишинга.
Сегодня я продемонстрирую еще одну проблему с сертификатами EV: повторяющиеся названия компаний. В частности, этот сайт использует сертификат EV для «Stripe, Inc», который был законно выпущен Comodo. Однако, когда вы слышите «Stripe, Inc», вы, вероятно, думаете о платежной системе, зарегистрированной в штате Делавэр. Однако на этом сайте, вы взаимодействуете с «Stripe, Inc», зарегистрированной в штате Кентукки. Эта проблема также может возникать для фирм с одинаковым названием в разных странах.
Как пользователь может определить, с каким сайтом он работает? Браузеры скрывают эту информацию, в лучшем случае показывают страну регистрации. Очевидно, здесь и настоящий и поддельный Stripe находятся в одной и той же стране. При наличии достаточно щелчков мыши вы можете открыть средство просмотра системных сертификатов или заставить свой браузер показать вам город и штат. Но все это не поможет простым пользователям, и они, скорее всего, просто слепо доверятся ярко-зеленому индикатору.
Давайте посмотрим на пользовательские интерфейсы браузеров. В Safari URL-адрес полностью скрыт! Это означает, что злоумышленнику даже не нужно регистрировать похожий домен для фишинга. Можно регистрировать любой домен, и Safari с удовольствием отобразит его красивым зеленым индикатором. Ниже приведен снимок экрана с этого сайта. Трудно поверить, да?
С браузером Chrome история немного лучше, но только если вы потрудитесь посмотреть полный URL-адрес. У Chrome нет собственного способа просмотра чего-либо, кроме названия компании и страны сертификата. Новые версии Chrome откроют средство просмотра системных сертификатов двумя щелчками мыши (в старых версиях просмотр сертификата полностью удален (это не совсем так — прим. перев.)), но средство просмотра системных сертификатов бесполезно для любого обычного пользователя.
Firefox ведет себя аналогично Chrome, но позволяет пользователям просматривать город и штат регистрации двумя щелчками мыши. Это по-прежнему бессмысленно; даже если простые пользователи потрудятся это проверить, им еще нужно знать, где находится компания, в которой они оформляют заказ, и убедиться в соответствии.
Один из вопросов может заключаться в том, насколько практична эта атака для реального злоумышленника, который хочет получить чьи-то данные фишингом. Во-первых, от регистрации юридического лица до выдачи EV сертификата я потратил менее часа моего времени и около 177 долларов. 100 долларов США — это регистрация компании, а сертификат — 77 долларов США. С момента регистрации до выдачи сертификата прошло около 48 часов.
Основное преимущество EV сертификатов, на которое делают упор сторонники расширенной проверки, заключается в том, что получение EV сертификатов оставляет за собой цепочку бумажных следов ведущих к личности злоумышленника. Тем не менее, в этом процессе проверка личности минимальна. Dun & Bradstreet была единственной организацией, которая пыталась проверить мою личность и сделала это несколькими тривиальными вопросами. Покупка удостоверения и ответы на общие проверочные вопросы не являются ни трудными, ни дорогостоящими действиями.
Попыток проверки личности со стороны штата Кентукки или агента, которого я использовал в этом процессе, не было. Это типично при регистрации компании в Соединенных Штатах. Таким образом, злоумышленники могут легко получать EV сертификаты. Некоторые злоумышленники могут прилагать больше усилий, например, отправлять фишинговые SMS сообщения. Mobile Safari на iOS скроет URL-адрес после его открытия и, значительно увеличит вероятность успеха при сборе учетных данных. И, конечно, нет способа просмотреть сертификат с помощью Mobile Safari.
После того, как Джеймс Бертон получил сертификат «Identity Verified», последовало обсуждение через публичный список рассылки CA/Browser Forum, cabfpub. Некоторые идеи были отброшены, главным образом сосредоточились вокруг добавления более сильной привязки к человеку, запрашивающему сертификат, чтобы сдержать преступников от получения этих сертификатов. Тем не менее, есть надежда, что в��е эти «костыли», возможно, остановят преступников желающих получить сертификат расширенной проверки.
Одно из предлагаемых решений заключалось в том, чтобы потребовать от заявителей какой-либо формы личной проверки, будь то виртуально или в реальной жизни, и требовать предоставления идентификационной информации для подтверждения их личности. Хотя это и может помешать некоторым злоумышленникам, но у тех, кто занимается более целенаправленными или громкими атаками, не будет проблем потратить немного времени для подделки идентифицирующих документов или попытаться обойти другие методы проверки.
Стоит отметить, что Базовые Требования — набор стандартов, которым должны соответствовать доверенные сертификаты, — включают Запросы Сертификатов Высокого Риска (High Risk Certificate Requests). Тем не менее, определение термина Запрос Сертификата Высокого Риска сформулировано не очень четко и в некотором смысле бесполезно. Запрос «может включать имена с повышенным риском для фишинга», но функция определения делегирована удостоверяющим центрам, которые должны поддерживать список целей для фишинга в актуальном состоянии.
Несомненно можно предложить много решений этой проблемы. Но в конечном счете, любой метод, основанный на том, что пользователям показывается название юридического лица, является полностью ущербным. В результате того, что EV сертификаты работают именно так, у браузеров нет особых возможностей исправить проблему. Тем не менее, они могут предпринять шаги, чтобы гарантировать, что сертификаты EV не заменяют другие важные части пользовательского интерфейса, как это делает Safari.
