瀏覽器如何驗證網站身份並防止冒名頂替者

你是否注意到你的瀏覽器有時會在加密的網站上顯示網站的組織名稱？這是網站擁有擴充套件驗證證書的標誌，表明網站的身份已經過驗證。...

你是否注意到你的瀏覽器有時會在加密的網站上顯示網站的組織名稱？這是網站擁有擴充套件驗證證書的標誌，表明網站的身份已經過驗證。

EV證書不提供任何額外的加密強度-相反，EV證書表明已經對網站的身份進行了廣泛的驗證。標準的SSL證書很少提供對網站身份的驗證。

瀏覽器如何顯示擴充套件驗證證書

在一個不使用擴充套件驗證證書的加密網站上，Firefox說這個網站是“執行者（未知）”

Chrome沒有顯示任何不同的內容，並表示該網站的身份是由頒發該網站證書的證書頒發機構驗證的。

當您連線到使用擴充套件驗證證書的網站時，Firefox會告訴您它是由特定組織執行的。根據這個對話方塊，VeriSign驗證了我們已經連線到了真正的PayPal網站，它是由PayPal，Inc.運營的。

當您連線到使用Chrome中EV證書的站點時，該組織的名稱將顯示在您的位址列中。資訊對話方塊告訴我們，貝寶的身份已經由VeriSign使用擴充套件驗證證書進行了驗證。

ssl證書的問題

幾年前，證書頒發機構在頒發證書之前通常會驗證網站的身份。證書頒發機構將檢查申請證書的企業是否已註冊，撥打電話號碼，並驗證該企業是否是與網站匹配的合法業務。

最終，證書頒發機構開始提供“僅域”證書。這些更便宜，因為證書頒發機構快速檢查請求者是否擁有特定域（網站）的工作量更少。

釣魚者最終開始利用這一點。網路釣魚者可以註冊域paypall.com網站併購買僅限域的證書。當用戶連線到paypall.com網站，使用者的瀏覽器會顯示標準的鎖圖示，提供虛假的安全感。瀏覽器並沒有顯示僅域證書和涉及更廣泛的網站身份驗證的證書之間的區別。

公眾對證書頒發機構驗證網站的信任度下降——這只是證書頒發機構未能盡職調查的一個例子。2011年，電子前沿基金會發現，證書頒發機構為“localhost”頒發了2000多個證書，localhost這個名稱總是指您當前的計算機。（來源）在壞人手中，這樣的證書會讓中間人的攻擊更容易。

擴充套件驗證證書的不同之處

EV證書表示證書頒發機構已驗證網站由特定組織執行。例如，如果網路釣魚者試圖獲取paypall.com網站，請求將被拒絕。

與標準SSL證書不同，只有透過獨立稽核的證書頒發機構才允許頒發EV證書。證書頒發機構/瀏覽器論壇（CA/Browser Forum）是一個由證書頒發機構和瀏覽器供應商（如Mozilla、Google、Apple和Microsoft）組成的自願組織，它釋出了所有頒發擴充套件驗證證書的證書頒發機構都必須遵守的嚴格準則。這在理想情況下可以防止證書頒發機構參與另一場“抄底競賽”，即使用寬鬆的驗證實踐來提供更便宜的證書。

簡而言之，指南要求證書頒發機構核實申請證書的組織是否已正式註冊，它是否擁有相關域，以及申請證書的人是否代表該組織行事。這包括檢查**記錄、聯絡域的所有者以及聯絡組織以驗證請求證書的人是否為組織工作。

相反，僅域證書驗證可能只涉及瀏覽域的whois記錄，以驗證註冊者是否使用相同的資訊。為“localhost”這樣的域頒發證書意味著一些證書頒發機構甚至沒有做那麼多驗證。從根本上說，EV證書是一種嘗試，旨在恢復公眾對證書頒發機構的信任，並恢復其對冒名頂替者的把關角色。