Cómo los navegadores verifican las identidades del sitio web y protegen contra los impostores
¿Alguna vez ha notado que su navegador a veces muestra el nombre de la organización de un sitio web en un sitio web encriptado? Esto es una señal de que el sitio web tiene un certificado de validación extendido, que indica que la identidad del sitio web ha sido verificada.
Los certificados EV no proporcionan ninguna fuerza de cifrado adicional; en cambio, un certificado EV indica que se ha realizado una verificación exhaustiva de la identidad del sitio web. Los certificados SSL estándar proporcionan muy poca verificación de la identidad de un sitio web.
Cómo los navegadores muestran certificados de validación extendida
En un sitio web encriptado que no usa un certificado de validación extendido, Firefox dice que el sitio web es "ejecutado por (desconocido)".
Chrome no muestra nada diferente y dice que la identidad del sitio web fue verificada por la autoridad de certificación que emitió el certificado del sitio web..
Cuando está conectado a un sitio web que utiliza un certificado de validación extendido, Firefox le dice que está dirigido por una organización específica. De acuerdo con este diálogo, VeriSign ha verificado que estamos conectados al sitio web real de PayPal, que es administrado por PayPal, Inc..
Cuando está conectado a un sitio que utiliza un certificado EV en Chrome, el nombre de la organización aparece en su barra de direcciones. El cuadro de diálogo de información nos dice que VeriSign ha verificado la identidad de PayPal mediante un certificado de validación extendido.
El problema con los certificados SSL
Hace años, las autoridades de certificación solían verificar la identidad de un sitio web antes de emitir un certificado. La autoridad de certificación verificará que la empresa que solicita el certificado esté registrada, llame al número de teléfono y verifique que la empresa fue una operación legítima que coincidió con el sitio web.
Finalmente, las autoridades de certificación comenzaron a ofrecer certificados de "solo dominio". Estos eran más baratos, ya que la autoridad de certificación tenía menos trabajo para comprobar rápidamente que el solicitante era propietario de un dominio específico (sitio web).
Los phishers eventualmente comenzaron a aprovecharse de esto. Un phisher podría registrar el dominio paypall.com y comprar un certificado de solo dominio. Cuando un usuario se conectó a paypall.com, el navegador del usuario mostraría el ícono de bloqueo estándar, proporcionando una falsa sensación de seguridad. Los navegadores no mostraron la diferencia entre un certificado de solo dominio y un certificado que implicaba una verificación más exhaustiva de la identidad del sitio web.
La confianza pública en las autoridades de certificación para verificar los sitios web ha disminuido: este es solo un ejemplo de las autoridades de certificación que no cumplen con su diligencia debida. En 2011, la Electronic Frontier Foundation descubrió que las autoridades de certificación habían emitido más de 2000 certificados para "localhost", un nombre que siempre se refiere a su computadora actual. (Fuente) En las manos equivocadas, un certificado de este tipo podría facilitar los ataques del hombre en el medio.
Cómo son diferentes los certificados de validación extendida
Un certificado EV indica que una autoridad certificadora ha verificado que el sitio web está dirigido por una organización específica. Por ejemplo, si un phisher intentó obtener un certificado EV para paypall.com, la solicitud se rechazaría.
A diferencia de los certificados SSL estándar, solo las autoridades de certificación que pasan una auditoría independiente pueden emitir certificados EV. La Autoridad de certificación / Foro de navegador (CA / Foro de navegador), una organización voluntaria de autoridades de certificación y proveedores de navegador como Mozilla, Google, Apple y Microsoft emite pautas estrictas que deben cumplir todas las autoridades de certificación que emiten certificados de validación ampliados. Esto idealmente evita que las autoridades de certificación participen en otra "carrera hacia el fondo", donde utilizan prácticas de verificación poco estrictas para ofrecer certificados más baratos..
En resumen, las pautas exigen que las autoridades de certificación verifiquen que la organización que solicita el certificado está oficialmente registrada, que posee el dominio en cuestión y que la persona que solicita el certificado actúa en nombre de la organización. Esto implica verificar los registros del gobierno, ponerse en contacto con el propietario del dominio y ponerse en contacto con la organización para verificar que la persona que solicita el certificado funciona para la organización..
En contraste, una verificación de certificado de solo dominio puede implicar solo una mirada a los registros de whois del dominio para verificar que el registrante está usando la misma información. La emisión de certificados para dominios como "localhost" implica que algunas autoridades de certificación ni siquiera están haciendo tanta verificación. Los certificados EV son, fundamentalmente, un intento de restaurar la confianza pública en las autoridades de certificación y restaurar su papel como guardianes frente a los impostores..