it.phhsnews.com


it.phhsnews.com / In che modo i browser verificano le identità dei siti Web e proteggono dagli impostori

In che modo i browser verificano le identità dei siti Web e proteggono dagli impostori


Avete mai notato che il vostro browser talvolta visualizza il nome di un'organizzazione di un sito Web su un sito Web crittografato? Questo è un segno che il sito Web ha un certificato di convalida esteso, che indica che l'identità del sito web è stata verificata.

I certificati EV non forniscono alcuna forza di crittografia aggiuntiva - invece, un certificato EV indica che la verifica estesa dell'identità del sito web è avuto luogo I certificati SSL standard forniscono pochissima verifica dell'identità di un sito Web.

Come i browser visualizzano i certificati di convalida estesi

Su un sito Web crittografato che non utilizza un certificato di convalida esteso, Firefox afferma che il sito Web è "gestito da (sconosciuto) . "

Chrome non visualizza nulla in modo diverso e afferma che l'identità del sito Web è stata verificata dall'autorità di certificazione che ha emesso il certificato del sito Web.

Quando si è connessi a un sito Web che utilizza un certificato di convalida esteso, Firefox dice sei gestito da un'organizzazione specifica. Secondo questa finestra di dialogo, VeriSign ha verificato che siamo connessi al vero sito web PayPal, gestito da PayPal, Inc.

Quando ti connetti a un sito che utilizza un certificato EV in Chrome, viene visualizzato il nome dell'organizzazione nella barra degli indirizzi. La finestra di dialogo delle informazioni ci dice che l'identità di PayPal è stata verificata da VeriSign utilizzando un certificato di convalida esteso.

Il problema con i certificati SSL

Anni fa, le autorità di certificazione utilizzate per verificare l'identità di un sito Web prima di rilasciare un certificato. L'autorità di certificazione verificherà che l'attività commerciale che richiede il certificato sia stata registrata, chiami il numero di telefono e verifichi che l'attività commerciale sia stata legittima corrispondente al sito Web.

Alla fine, le autorità di certificazione hanno iniziato a offrire certificati "solo dominio". Questi erano meno costosi, poiché era meno lavoro per l'autorità di certificazione controllare rapidamente che il richiedente possedesse un dominio specifico (sito Web).

I phisher alla fine iniziarono a sfruttarlo. Un phisher potrebbe registrare il dominio paypall.com e acquistare un certificato di solo dominio. Quando un utente si collegava a paypall.com, il browser dell'utente visualizzava l'icona del lucchetto standard, fornendo un falso senso di sicurezza. I browser non mostravano la differenza tra un certificato di solo dominio e un certificato che implicava una verifica più estesa dell'identità del sito Web.

La fiducia del pubblico nelle autorità di certificazione per verificare i siti Web è diminuita - questo è solo un esempio delle autorità di certificazione che non riescono a fare la dovuta diligenza. Nel 2011, la Electronic Frontier Foundation ha rilevato che le autorità di certificazione avevano emesso più di 2000 certificati per "localhost", un nome che si riferisce sempre al computer corrente. (Fonte) Nelle mani sbagliate, un tale certificato potrebbe rendere più facili gli attacchi man-in-the-middle.

Come sono estesi i certificati di convalida estesi

Un certificato EV indica che un'autorità di certificazione ha verificato che il sito Web viene eseguito da una specifica organizzazione. Ad esempio, se un phisher ha tentato di ottenere un certificato EV per paypall.com, la richiesta verrà rifiutata.

A differenza dei certificati SSL standard, solo le autorità di certificazione che superano un controllo indipendente possono rilasciare certificati EV. L'Autorità di certificazione / Forum del browser (CA / Browser Forum), un'organizzazione volontaria delle autorità di certificazione e venditori di browser come Mozilla, Google, Apple e Microsoft emanano linee guida rigorose che devono seguire tutte le autorità di certificazione che rilasciano certificati di convalida estesi. Ciò impedisce idealmente alle autorità di certificazione di impegnarsi in un'altra "corsa verso il basso", dove usano pratiche di verifica lassista per offrire certificati più economici.

In breve, le linee guida richiedono che le autorità di certificazione verifichi che l'organizzazione che richiede il certificato sia ufficialmente registrata, che possiede il dominio in questione e che la persona che richiede il certificato agisce per conto dell'organizzazione. Ciò comporta la verifica dei record governativi, il contatto con il proprietario del dominio e il contatto con l'organizzazione per verificare che la persona che richiede il certificato lavori per l'organizzazione.

Al contrario, una verifica del certificato solo per un dominio potrebbe solo riguardare i record whois del dominio per verificare che il registrante stia utilizzando le stesse informazioni. L'emissione di certificati per domini come "localhost" implica che alcune autorità di certificazione non stiano nemmeno effettuando la stessa verifica. I certificati EV sono, fondamentalmente, un tentativo di ripristinare la fiducia del pubblico nelle autorità di certificazione e ripristinare il loro ruolo di gatekeeper contro gli impostori.


Perché i dischi rigidi mostrano la capacità errata in Windows?

Perché i dischi rigidi mostrano la capacità errata in Windows?

Se hai mai acquistato un computer con una capacità del disco rigido di 500 GB e hai aperto Windows Explorer solo per scoprire che la sua capacità sembrava più come 440 GB, ci si potrebbe chiedere dove sono andati tutti quei gigabyte. Ci sono diversi motivi per cui Windows potrebbe visualizzare la quantità sbagliata di spazio disponibile, da file shadow invisibili, overhead di formattazione e partizioni di ripristino nascoste a ingannevoli (anche se tecnicamente accurate ) Capacità di archiviazione pubblicizzata dai produttori di dischi rigidi.

(how-to)

Come impostare i tempi di Silenzio Automatico in Android con la modalità Non disturbare

Come impostare i tempi di Silenzio Automatico in Android con la modalità Non disturbare

Non disturbare su Android può essere utile se stai partecipando a una riunione, a un film o in qualsiasi altro luogo in cui il tuo il telefono non deve essere distratto per un po ', ma il vero valore si trova nelle regole automatiche di Do Not Disturb. Fondamentalmente, puoi dire ad Android quando non ti infastidisce, come di notte mentre stai dormendo, per esempio, così come chi può darti fastidio se è necessario.

(how-to)