it-swarm.asia

SSL مقابل EV SSL

كما أفهمها ، تتحقق شهادات SSL من الاتصال بين المضيف والمتصفح ، مما يمنع هجمات MITM. هل صحيح أن EV SSL يتحقق من المضيف نفسه ، وبالتالي منع (من الناحية النظرية) هجمات التصيد الاحتيالي؟ هل هناك أي اختلافات أخرى بين EV SSL و SSL العادية؟

5
waiwai933

يتم استخدام شهادات SSL لإعداد اتصال مشفر بين العميل والخادم. جزء التحقق من الهوية يتم من الناحية النظرية بواسطة مُصدر الشهادة قبل إصدار الشهادة.

ولكن سوق طبقة المقابس الآمنة هي عملية احتيال كبيرة بالفعل يتم إصدار العديد من شهادات طبقة المقابس الآمنة مع الحد الأدنى المطلق من التحقق من الهوية. يمكنك بسهولة العثور على شهادات طبقة المقابس الآمنة بأقل من 20 دولارًا أمريكيًا ، ومقدار العمل المباحث الذي يمكن أن تحصل عليه مقابل 20 دولارًا أمريكيًا ... ومن ثم ، فهذه ليست شهادات موقعة ذاتيًا ، بل شهادات لها نفس الجذر مثل شهادات باهظة الثمن من Comodo ، Thawte الخ.

تختلف شهادات التحقق من الصحة الموسعة (EV) فقط في جانب واحد ، لكنها مهمة: هناك معايير واضحة الحد الأدنى للتحقق من الهوية قبل إصدار الشهادة. بناءً على ذلك ، تمنح جميع المتصفحات الحديثة شهادات EV معاملة أكثر وضوحًا في واجهة المستخدم - ' شريط أخضر '.

لذا فإن السؤال الكبير لأصحاب المواقع هو "هل تقلل شهادات EV من معدل التخلي؟" . من المتوقع أن يكون مصدرو الشهادات قد أصدروا أوراقًا بيضاء تفيد بأنهم يعملون ، وتستحق علامات أسعارهم أعلى من ذلك بكثير. لست متأكدا جدا. لقد بحثت عن دليل مستقل على ذلك ، وأنا لم أر حتى الآن.

الحصول على شهادة SSL منتظمة أمر سهل ، والحصول على شهادة EV أمر أصعب بكثير. سيكون عليك عمومًا القفز من خلال المزيد من الأطواق لإثبات هويتك لـ EV.

هل صحيح أن EV SSL يتحقق من المضيف نفسه ، وبالتالي منع (من الناحية النظرية) هجمات التصيد الاحتيالي؟

إنهم يساعدون ، لكنهم لا يمنعون هجمات التصيد الاحتيالي هجوم التصيد هو شخص ينتحل شخصيتك ، في أي وسائط من المواقع الإلكترونية إلى الهاتف أو الفاكس. إذا كان المستخدمون يبحثون عن الشريط الأخضر EV مع اسم شركتك ، فإن شهادة EV توفر بعض الحماية من التصيد على الويب. ولكن كم من المستخدمين حقا الانتباه إلى هذا؟ أنا أظن أنها أقلية.

5
Jesper Mortensen

هل صحيح أن EV SSL يتحقق من المضيف نفسه ، وبالتالي منع (من الناحية النظرية) هجمات التصيد الاحتيالي؟

صحيح ، هذه هي النظرية ، وبعد الحصول على مررت بتطبيق EV ، يمكنني الإبلاغ عن أنها لاذعة للغاية. كان عنوان شركتنا مختلفًا قليلاً في طلبنا عن ما تم إدراجه في بعض سجلات الشركات التي كانوا يشيرون إليها ، وتم رفض طلبنا عدة مرات حتى يتم حل جميع التفاصيل.

1
Mark Henderson