News

Why are you removing the identity of the website, Google and Mozilla?

沒有強大的網站標識就無法擁有消費者隱私
如今,在保護消費者隱私方面,掀起了一股巨大的熱潮-國會,GDPR等-但我們如何在不建立要求消費者身份的網站身份的情況下保護網絡上的用戶隱私密碼和信用卡號是嗎?擴展驗證(EV)證書可提供此信息,並且對消費者非常有用。

 我們認為這是一個錯誤-希望Mozilla和Google提出使用EV數據的創新方法-而不是將其隱藏。

將近十年來,要向用戶顯示其已確認身份的網站從其證書頒發機構(CA)購買SSL / TLS證書時,已經經歷了擴展驗證(EV)流程。該過程涉及多個步驟,這些步驟是按照“了解您的客戶”規則設計的。

擴展驗證涉及確認控制證書域的組織是否適當參與並保持良好信譽,並採取措施確認其為“真實業務”,並通過其公司地址和電話號碼進行確認,並確認該人的權限訂購證書。然後,將已確認的身份信息插入到EV證書中,並進行加密簽名,以防止欺詐者更改或複制。

每個EV證書都包含有關網站背後組織的大量信息。例如,此處已向美國銀行頒發了EV證書:

該信息表明,美國銀行是特拉華州的美國公司,特拉華州公司註冊號為2927442,並已確認在芝加哥有業務。該信息清楚地標識了管理網站www.bankofamerica.com的組織,並在網站上發生任何不良事件甚至可能支持的情況下與世界(用戶,執法部門等)聯繫並聯繫信息。全球所有CA都遵循相同的EV驗證程序,並且以相同的方式在EV證書中包含身份信息。該過程已根據CA /瀏覽器論壇制定和維護的擴展驗證準則進行了標準化。

許多大型企業,包括銀行,金融機構,醫院中心等,都使用EV證書來保護其客戶和品牌,許多網絡釣魚者試圖模仿這些證書。

EV證書的主要選項是域驗證(DV)證書,其中不包含任何標識信息。

在許多情況下,頒發CA的人不知道誰擁有該網站,並且通常無法聯繫所有者!以下是網站whoami.com的DV證書中的所有標識信息:

在過去的十年中,瀏覽器已使用具有特定EV用戶界面(UI)的特定網站的EV證書,因此用戶可以了解到該網站所有者的身份已由第三方CA確認。結果,具有EV證書的站點幾乎沒有網絡釣魚,而網絡釣魚者已遷移到使用匿名DV證書進行加密的過程,並且DV網站上的網絡釣魚激增。

Google Chrome和Mozilla Firefox即將淘汰當前的EV UI

不幸的是,谷歌瀏覽器Chrome宣布將通過其瀏覽器的下一版本Chrome 77終止特定的EV用戶界面,該版本將於2019年9月至9月生效; Mozilla將在十月這樣做。進行此更改後,用戶將僅看到用於DV站點的站點的URL。以下是用戶界面前後的示例-在這種情況下,適用於使用EV證書的美國參議院網站。

DV網站上的網絡釣魚激增。在具有EV證書的網站上保護用戶。

直到最近,幾乎所有網絡釣魚和惡意軟件都位於未加密的http網站上。k關於他們的身份。對用戶進行了培訓(並錯過了培訓)以“尋找鎖定符號”以提高安全性。

Leave a Reply

Your email address will not be published. Required fields are marked *