Для того, чтобы вести бизнес в интернете, потребителям и предприятиям необходим надежный способ обмена номерами кредитных карт, паролями и другой личной информацией. Мы в Cloud4Y предоставляем
SSL — это технология, которая защищает большую часть интернета и по сути делает возможной электронную коммерцию. Пользователи могут определить его по символу замка в браузере, что значит следующее: все отправленные получателю данные шифруются таким способом, который никто больше не может расшифровать. Есть одна загвоздка: шифрование полезно только тогда, когда вы при отправке данных уверены, что получатель — не мошенник, а доверенное лицо, которое может их расшифровать.
SSL-сертификаты: транзакционная безопасность
Чтобы включить шифрование
В настоящее время существует три типа сертификатов SSL: подтверждения домена (domain validated — DV), подтверждения организации (organizationally validated — OV) и сертификаты расширенной проверки (extended validation certificates — EV).
Не так давно был доступен только сертификат вида OV. С этим типом сертификата центр сертификации мог подтвердить соответствие определенной
Затем в
Рисунок ниже позволяет сравнить вид окна браузера при использовании сертификатов этих двух типов для amazon.com:
Как видно на рисунке, сертификат типа DV не дает никакой информации, кроме имени домена (carbon2cobalt.com). Нет информации о том, откуда ведется этот бизнес и кто его владелец. Сертификат же типа OV certificate для amazon.com показывает и название компании, и ее локацию. В окне браузера сертификаты выглядят одинаково:
SSL расширенного типа
Следующий появившийся тип сертификата — сертификат расширенной проверки (Extended Validation — EV). В этом случае ЦС выполняет расширенные проверки заявителя для повышения уровня доверия в бизнесе. Ниже представлен пример сертификата расширенной проверки:
В этом примере понятно, что сертификат (и сайт) принадлежат Банку Америки в Чикаго, Иллинойс. Эта информация была подтверждена центром сертификации в рамках процесса проверки, который включал изучение корпоративных документов, проверку личности заявителя и проверку информации по базе данных центра сертификации.
Во всех браузерах при использовании этого сертификата горит визуальный индикатор, обычно зеленый замок в адресной строке. Это дает потребителю понять, что данные вебсайта тщательно проверены. Все браузеры отображают название организации слева или справа от URL. На рисунке ниже показано, как EV сертификаты отображаются в популярных браузерах. Расширенная проверка делает EV сертификаты более сложными для получения:
Сертификаты EV помогают установить законность бизнеса и предоставить инструмент, который может быть использован для оказания помощи в решении проблем, связанных с фишингом, вредоносным ПО и другими видами
1. Затрудняют осуществление фишинга и других видов
2. Помогают компаниям, которые могут стать объектами фишинга и
3. Содействуют правоохранительным органам в расследовании фишинга и других видов
Чем плохи базовые сертификаты?
Это просто: сайт MyFavoriteStore.com из уже рассмотренного нами примера не является реальным бизнесом. Это сайт, созданный для фишинга. Как это происходит?
1. Мошенник покупает домен у регистратора домена, используя поддельную информацию и данные украденной кредитной карты. Регистратор оформляет домен myfavoritestore.com на мошенника.
2. Получив права на домен, мошенник обращается в центр сертификации за сертификатом базового уровня (подтверждения домена). Центр сертификации требует только ответа заявителя по электронной почте, получив который, выдает сертификат.
3. Мошенник создает
4. Покупателей привлекают на сайт через почтовую рассылку и ложную рекламу.
5. Когда потребитель видит замочек в строке бразуера, он спокойно вводит данные своей кредитной карты, чтобы сделать покупку.
6. Мошенник крадет данные кредитных карт, а потребитель теряет деньги и не получает свой товар. При просмотре сертификата SSL он не находит ничего, кроме доменного имени. Нет подтвержденного адреса и никакой другой информации.
Последнее исследование, проведенное компанией Symantec, показало, что более 1/3 из всех компаний электронной коммерции защищают сайты с помощью DV сертификатов. Это не удивительно, учитывая относительную легкость, скорость и низкие затраты на получение такого сертификата. Хотя все центры сертификации и должны выполнить базовую проверку на мошенничество, мошенники легко адаптируют свои методы, чтобы обойти эти проверки. Например, название PayPal является распространенным объектом мошенничества и, следовательно, центр сертификации будет проводить автоматизированную проверку похожих названий, таких как
Сравните два сертификата ниже. Слева — сертификат для сайта bookairfare.com, справа — для сайта ebookers.com. Потребитель, который ищет дешевые авиабилеты через поисковик, может быть направлен на оба эти сайта, но как ему понять, что бизнес проверен? Изучив сертификат слева, пользователь не увидит никакой деловой информации, то есть, перед ним сертификат типа DV. Сертификат справа, в отличие от левого, содержит проверенные
Преступники часто создают поддельные
На сайте есть убедительные
Тем не менее, проверка показывает, что перед нами — сертификат типа DV:
Вместо заключения
Как говорится, в интернете никто точно не знает, кто ты:
Тем не менее, в последние пару лет покупатели в сети интернет стали гораздо более опытными, начав уделять больше внимания вопросам безопасности. Сертификаты базового уровня постепенно отходят на второй план, поскольку многие пользователи больше не доверяют сайтам с такими сертификатами, предпочитая отдавать свои личные данные только проверенным компаниям.