Trybun <MLSCh@jachu.cb> napisał(a):
Nie znając tematu przyznam że czytając o bezpiecznym https przypuszczałem
że takie adresy są przydzielane tylko jakimś pewnym, sprawdzonym
podmiotom. Z drugiej strony nie słyszałem o jakichś globalnych służbach
dbających o bezpieczeństwo w necie. Dzięki za rozjaśnienie sprawy.
Są różne rodzaje certyfikatów. Ten najprostszy tylko potwierdza domenę (typ
DV - domain validation) i może go dostać każdy admin. Ale są też
certyfikaty, które potwierdzają więcej. Takim wyższym rodzajem certyfikatu
jest OV - organization validation. W tym wypadku urząd weryfikuje kto jest
właścicielem strony (czy firma istnieje w CEIDG, GUS itp). Wyższy poziom to
EV (extended validation) - urząd nie tylko weryfikuje podmiot, ale też
wymaga od niego zaakceptowania regulaminu urzędu. Więc certyfikat może dać
nam pewność, że mamy do czynienia ze sprawdzonym podmiotem.
Sęk w tym, w sposób automatyczny przeglądarka może zweryfikować jedynie
domenę. Dane z certyfikatów OV i EV trzeba już sprawdzić ręcznie.
Przykładowo certyfikat Onetu mówi, że właścicielem jest Axel Springer.
Kojarzymy tę firmę i wiemy, że należy do niej Onet. A jak nie wiemy, to
możemy to łatwo sprawdzić. Niestety przeglądarka tego nie sprawdzi, nie ma
do tego rozwiązań technicznych.
W każdym razie strona podszywająca się pod Onet nie będzie miała certyfikatu
OV, tylko zwykły DV. A nawet gdyby dostała OV, to łatwo zauważymy, że jako
właściciel jest coś innego niż Onet.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
|