Скрытые опасности электронной коммерции и правильные SSL-сертификаты

Для того, чтобы вести бизнес в интернете, потребителям и предприятиям необходим надежный способ обмена номерами кредитных карт, паролями и другой личной информацией. Мы в Cloud4Y предоставляем SSL-сертификаты некоторых производителей, и поэтому мы решили дать небольшую справку и несколько интересных фактов по типам сертификатов, их достоинствам и подводным камням.

SSL — это технология, которая защищает большую часть интернета и по сути делает возможной электронную коммерцию. Пользователи могут определить его по символу замка в браузере, что значит следующее: все отправленные получателю данные шифруются таким способом, который никто больше не может расшифровать. Есть одна загвоздка: шифрование полезно только тогда, когда вы при отправке данных уверены, что получатель — не мошенник, а доверенное лицо, которое может их расшифровать.

SSL-сертификаты: транзакционная безопасность

Чтобы включить шифрование веб-сайты используют цифровые сертификаты, выдаваемые центрами сертификации (например, Symantec).Центр сертификации — это третья сторона, которая проверяет сведения о претенденте, используя различные базы данных, телефонные звонки и другие средства. Обратите внимание, что центр сертификации не проверяет надежность бизнеса, его роль заключается в том, чтобы убедиться, что бизнес существует и выдать учетные данные (цифровые сертификаты).
В настоящее время существует три типа сертификатов SSL: подтверждения домена (domain validated — DV), подтверждения организации (organizationally validated — OV) и сертификаты расширенной проверки (extended validation certificates — EV).

Не так давно был доступен только сертификат вида OV. С этим типом сертификата центр сертификации мог подтвердить соответствие определенной бизнес-информации имени домена, гарантируя таким образом, что претендент является именно тем, за кого себя выдает. Например, для приобретения сертификата для www.amazon.com компания Amazon должна была бы отправить в центр сертификации определенную информацию с сервера, подтверждающую, что это реальная компания.

Затем в 2000-х появились сертификаты типа DV. Такой сертификат давался в кратчайшие сроки, поскольку требовал от претендента только подтвердить свое право на использование доменного имени — и никакого подтверждения другой бизнес-информации. Например, если кто-то приобретал домен www.myfavоritestore.cоm, он мог получить сертификат типа DV, просто запросив его в центре сертификации и ответив на e-mail из него. Как только центр сертификации получал ответ, сразу выпускался сертификат, что позволяло мгновенно создать интернет-магазин MyFavoriteStore.com и начать принимать кредитные карты. Очевидно, что никакого подтверждения легитимности бизнеса при этом нет, и никто не может гарантировать, что этот интернет- магазин принадлежит не мошенникам.

Рисунок ниже позволяет сравнить вид окна браузера при использовании сертификатов этих двух типов для amazon.com:

Как видно на рисунке, сертификат типа DV не дает никакой информации, кроме имени домена (carbon2cobalt.com). Нет информации о том, откуда ведется этот бизнес и кто его владелец. Сертификат же типа OV certificate для amazon.com показывает и название компании, и ее локацию. В окне браузера сертификаты выглядят одинаково:

SSL расширенного типа

Следующий появившийся тип сертификата — сертификат расширенной проверки (Extended Validation — EV). В этом случае ЦС выполняет расширенные проверки заявителя для повышения уровня доверия в бизнесе. Ниже представлен пример сертификата расширенной проверки:
В этом примере понятно, что сертификат (и сайт) принадлежат Банку Америки в Чикаго, Иллинойс. Эта информация была подтверждена центром сертификации в рамках процесса проверки, который включал изучение корпоративных документов, проверку личности заявителя и проверку информации по базе данных центра сертификации.

Во всех браузерах при использовании этого сертификата горит визуальный индикатор, обычно зеленый замок в адресной строке. Это дает потребителю понять, что данные вебсайта тщательно проверены. Все браузеры отображают название организации слева или справа от URL. На рисунке ниже показано, как EV сертификаты отображаются в популярных браузерах. Расширенная проверка делает EV сертификаты более сложными для получения:

Сертификаты EV помогают установить законность бизнеса и предоставить инструмент, который может быть использован для оказания помощи в решении проблем, связанных с фишингом, вредоносным ПО и другими видами онлайн-мошенничества. EV сертификаты имеют следующие преимущества:

1. Затрудняют осуществление фишинга и других видов онлайн-мошенничества;
2. Помогают компаниям, которые могут стать объектами фишинга и онлайн-мошенничества, предоставляя им инструмент, позволяющий лучше идентифицировать себя в глазах пользователей;
3. Содействуют правоохранительным органам в расследовании фишинга и других видов онлайн-мошенничества.

Чем плохи базовые сертификаты?

Это просто: сайт MyFavoriteStore.com из уже рассмотренного нами примера не является реальным бизнесом. Это сайт, созданный для фишинга. Как это происходит?

1. Мошенник покупает домен у регистратора домена, используя поддельную информацию и данные украденной кредитной карты. Регистратор оформляет домен myfavoritestore.com на мошенника.
2. Получив права на домен, мошенник обращается в центр сертификации за сертификатом базового уровня (подтверждения домена). Центр сертификации требует только ответа заявителя по электронной почте, получив который, выдает сертификат.
3. Мошенник создает веб-страницы, которые рекламируют популярные товары, делает страницы ввода данных кредитных карт.
4. Покупателей привлекают на сайт через почтовую рассылку и ложную рекламу.
5. Когда потребитель видит замочек в строке бразуера, он спокойно вводит данные своей кредитной карты, чтобы сделать покупку.
6. Мошенник крадет данные кредитных карт, а потребитель теряет деньги и не получает свой товар. При просмотре сертификата SSL он не находит ничего, кроме доменного имени. Нет подтвержденного адреса и никакой другой информации.

Последнее исследование, проведенное компанией Symantec, показало, что более 1/3 из всех компаний электронной коммерции защищают сайты с помощью DV сертификатов. Это не удивительно, учитывая относительную легкость, скорость и низкие затраты на получение такого сертификата. Хотя все центры сертификации и должны выполнить базовую проверку на мошенничество, мошенники легко адаптируют свои методы, чтобы обойти эти проверки. Например, название PayPal является распространенным объектом мошенничества и, следовательно, центр сертификации будет проводить автоматизированную проверку похожих названий, таких как pay-pal, securepaypal, p@уpal и т. д. Но не так давно был зарегистрирован случай выдачи сертификата домену paypol-france.com, который затем был использован для фишинговых атак и кражи учетных данных пользователей. Получить сертификаты типа OV и EV с таким названием сайта мошенникам было бы гораздо сложнее.

Сравните два сертификата ниже. Слева — сертификат для сайта bookairfare.com, справа — для сайта ebookers.com. Потребитель, который ищет дешевые авиабилеты через поисковик, может быть направлен на оба эти сайта, но как ему понять, что бизнес проверен? Изучив сертификат слева, пользователь не увидит никакой деловой информации, то есть, перед ним сертификат типа DV. Сертификат справа, в отличие от левого, содержит проверенные бизнес-данные.

Преступники часто создают поддельные веб-сайты в целях хищения идентификационных данных и мошеннических. Чтобы добавить легитимности на сайт, они добавляют подробные графики, чтобы имитировать реальный сайт и получить SSL-сертификат, который дает пользователю визуальный индикатор безопасности. Как было сказано ранее, сертификат доменной проверки относительно легко получить. На рисунке ниже показан пример фишинга через ссылку в электронном письме:

На сайте есть убедительные веб-страницы и показан значок безопасности:

Тем не менее, проверка показывает, что перед нами — сертификат типа DV:

Вместо заключения

Как говорится, в интернете никто точно не знает, кто ты:

Тем не менее, в последние пару лет покупатели в сети интернет стали гораздо более опытными, начав уделять больше внимания вопросам безопасности. Сертификаты базового уровня постепенно отходят на второй план, поскольку многие пользователи больше не доверяют сайтам с такими сертификатами, предпочитая отдавать свои личные данные только проверенным компаниям.