W dniu 23.04.2024 o 11:08, Grzegorz Niemirowski pisze:
Trybun <MLSCh@jachu.cb> napisał(a):
Nie znając tematu przyznam że czytając o bezpiecznym https
przypuszczałem że takie adresy są przydzielane tylko jakimś pewnym,
sprawdzonym podmiotom. Z drugiej strony nie słyszałem o jakichś
globalnych służbach dbających o bezpieczeństwo w necie. Dzięki za
rozjaśnienie sprawy.
Są różne rodzaje certyfikatów. Ten najprostszy tylko potwierdza domenę
(typ DV - domain validation) i może go dostać każdy admin. Ale są też
certyfikaty, które potwierdzają więcej. Takim wyższym rodzajem
certyfikatu jest OV - organization validation. W tym wypadku urząd
weryfikuje kto jest właścicielem strony (czy firma istnieje w CEIDG,
GUS itp). Wyższy poziom to EV (extended validation) - urząd nie tylko
weryfikuje podmiot, ale też wymaga od niego zaakceptowania regulaminu
urzędu. Więc certyfikat może dać nam pewność, że mamy do czynienia ze
sprawdzonym podmiotem.
Sęk w tym, w sposób automatyczny przeglądarka może zweryfikować
jedynie domenę. Dane z certyfikatów OV i EV trzeba już sprawdzić
ręcznie. Przykładowo certyfikat Onetu mówi, że właścicielem jest Axel
Springer. Kojarzymy tę firmę i wiemy, że należy do niej Onet. A jak
nie wiemy, to możemy to łatwo sprawdzić. Niestety przeglądarka tego
nie sprawdzi, nie ma do tego rozwiązań technicznych.
W każdym razie strona podszywająca się pod Onet nie będzie miała
certyfikatu OV, tylko zwykły DV. A nawet gdyby dostała OV, to łatwo
zauważymy, że jako właściciel jest coś innego niż Onet.
A gdyby tak zaczęto używać określenia "bezpieczna strona" tylko dla tych
OV albo EV. Bo co komu daje brak alarmu ze strony antywirusa czy
przeglądarki wobec bezpiecznej ich zdaniem strony z certyfikatem DV?
|