Дата-центр Nerus Dot Com

×
×

База знаний & Загрузки

База знаний предоставляет документацию, написанную нашей командой. Пожалуйста, выберите категорию или воспользуйтесь поиском.

Статьи

Extended Validation: новое поколение SSL-сертификатов

В начале тысячелетия мошенничество в Интернет достигло невиданных размеров и рисковало подорвать доверие онлайн-банкинга в целом. На тот момент существовавшие инструменты защиты устарели, и перед интернет-разработиками была поставлена задача: разработать инструмент для обеспечения безопасности денежных операций в Глобальной Сети. В статье я расскажу про SSL-сертификат нового поколения Extended Validation, который завоевал доверие как профессионалов в области IT-безопасности, так и интернет-потребителей.


Мошенничество в Глобальной Сети

С развитием Интернета стремительными темпами рос рынок онлайн-платежей. Плюсы очевидны: человек осуществляет свои денежные операции, невыходя из дома. Достаточно зайти на сайт, выбрать желаемый товар (услугу). Для оплаты необходимо предоставить доступ к своей кредитной карточке. Поскольку, открывая доступ к своей карточке, фактически человек «открывает свой кошелек», и онлайн-ресурс «вынимает из кошелька» сумму, соответствующую цене товара. При этом сам человек этого не видит. Ему только приходит на личный электронный ящик оповещение про снятие денег со счета его электронной карточки. Как видите, покупка товаров онлайн сводится к доверию покупателя к веб-сайту электронной коммерции.

Онлайн-бизнес не осталась без внимания мошенников. Злоумышленники создавали точные копии сайтов онлайн-коммерции с похожим названием домена, заманивали на них людей. Ничего подозревавшие посетители оставляли свои конфиденциальные данные. В результате преступники овладевали информацией о банковских счетах и кредитных картах человека. Позднее данный способ мошенничества назвали «фишинг».

Фишинг (Phishing) — компьютерное преступление, мошенничество, основанное на принципах социального инжиниринга.

Злоумышленником создается практически точная копия сайта выбранного банка. Затем, при помощи спам-технологий рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от выбранного банка. При составлении письма используются логотипы банка, имена и фамилии реальных руководителей и сотрудников банка.

В июле 2003 г. представители ФБР назвали фишинг «самой свежей и наиболее тревожной, новой угрозой в Интернете». С тех пор фишинг распространяется по Сети подобно вирусной эпидемии. Дошло до того, что в 2004 пришлось создать Международную антифишинговую рабочую группу APWG. Главная задачами рабочей группы: расследование нового феномена и координация международной деятельности по предотвращению распространения фишинга. По информации APWG, только в апреле 2004 года было зарегистрировано более 1100 случаев уникальных афер или мошенничеств в интернете, это на 178% больше, чем в марте. И такая тенденция сохранялась от месяца к месяцу. Например, в апреле 2004 г. Citibank подвергся 475 фишинговым атакам, eBay — 221 и PayPal — 135. APWG существует и по сей день, и, поверьте, работы у организации не убавилось.


История EV SSL: CA/B Forum

По результатам исследования, проведенного компанией Gartner в 2004 году, выяснилось: 20% интернет-пользователей отказывались переводить деньги онлайн, поскольку считали данный способ денежных переводов небезопасным. На тот момент не было должного инструмента для обеспечения защиты сделок. Модель защиты SSL-сертификатами была эффективна в течение первого десятилетия электронной коммерции, но со временем инструменты защиты стали устаревшими и слишком уязвимыми. SSL-сертификат подтверждал защищенность обмена данными, но не гарантировал идентичность бизнеса в Сети.

В мае 2004 года году произошла конференция участников рынка SSL-сертификатов: сертификационных организаций и компаний-разработчиков веб-браузеров. В результате, было принято решение о создании общественной организации Certification Authority/Browser Forum (далее CA/B Forum).
Перед новой организацией была поставлена задача: разработать новый стандарт доверия онлайн-бизнеса.

В 2007 году CA/B Forum представила SSL-сертификат нового поколения — сертификат Extended Validation SSL.


Преимущества сертификата EV SSL

SSL-сертификат EV SSL (Технология Extended Validation) — это новый шаг в визуальном подтверждении подлинности бизнеса в Глобальной Сети. При заходе посетителем на сайт, обеспеченный SSL-сертификатом, адресная строка браузера отображается зеленым цветом и высвечивается название Сертификатной организации, выдавшей SSL-сертификат согласно всей строгости отраслевого стандарта, установленного CA/Browser Forum. До сих пор посетители не получали столь очевидного визуального подтверждения собственной безопасности при отправке конфиденциальных данных.

Появившись недавно, SSL-сертификат нового поколения сразу же приняли банки и онлайн-магазины как лучший способ повышения доверия клиентов. Кроме того, EV SSL — актуальный инструмент защиты против электронных мошенников.

Главными достоинствами данного стандарта являются:
• визуальное подтверждение «безопасного места в сети» для посетителя сайта. Здесь без проблем можно расстаться с деньгами;
• строгая проверка данных компании-обладателя SSL-сертификата;
• корректное отображение SSL-сертификата в актуальных версиях всех основных веб-браузеров.

Для пользователей веб-браузера Internet Explorer v.7: При заходе посетителя сайт, обеспеченный SSL-сертификатом EV SSL, адресная строка браузера отображается зеленым цветом и поочередно высвечиваются название сертификатной организации, выдавшей SSL-сертификат, и компании-владельца сайта.

Пользователи Firefox Mozilla v.3 увидят зеленую полоску в адресной строке слева, а пользователи Opera v.9.5 — справа:



SSL-сертификат EV SSL требует расширенное подтверждение корпоративных данных. В отличие от обычного SSL-сертификата EV SSL выдается компании не моментально. Компании, желающей обеспечить свой сайт SSL-сертификатом, необходимо направить пройти строгую проверку на идентичность:
• направить копии регистрационных документов компании, а также их переводы на английском языке, заверенные третьей стороной;
• сертификационная организация проверяет данные компании, отправившую документы, на предмет ее легальности и идентичности;
• сертификационная организация направляет запрос по адресу, указанному в документации, чтобы убедиться, обращалась ли компания, чьи данные указаны в документах.
И только после выполнения всех условий компания получит SSL-сертификат EV SSL. SSL-сертификат не выдается физическим лицам.

В SSL-сертификате EV SSL содержится следующая информация:
• название компании-владельца SSL-сертификата;
• юридический адрес компании-владельца SSL-сертификат;
• наименование доменного имени компании-владельца SSL-сертификата;
• географическая принадлежность компании-владельца;
• наименование сертификатной организации, выдавшей SSL-сертификат.

К тому же, SSL-сертификат EV SSL выполняет основные функции обычного SSL-сертификата: 
• обеспечивает безопасный процесс передачи данных между сервером и клиентом;
• обеспечивает аутентификации сервера для клиента, клиента — для сервера;
• данные при передаче не подвергаются внутреннему и внешнему влияниям.

По своему функционалу не все EV SSL сертификаты одинаковы. Выгодным образом отличается EV SSL от Comodo. В нем применяется запатентованная Comodo технология Auto-Enhancer(автоматическое развертывание). Благодаря ей, SSL-сертификат корректно отображается в веб-браузере Internet Explorer 7 операционной системы Windows XP независимо, включен ли фильтр фишинга в браузере.

Безусловно, SSL-сертификат EV SSL — актуальный инструмент для борьбы с мошенничеством Глобальной Сети. Обеспечив сайт компании SSL-сертификатом, вы делаете новый шаг в построении доверия между Вами и клиентом. И ваши клиенты наверняка это оценят.

Родион Филатов
Инфомедиа, 2008