Bagaimana Peramban Memverifikasi Identitas Situs Web dan Melindungi Terhadap Penipu
Pernahkah Anda memperhatikan bahwa browser Anda terkadang menampilkan nama organisasi situs web di situs web terenkripsi? Ini adalah tanda bahwa situs web tersebut memiliki sertifikat validasi tambahan, yang menunjukkan bahwa identitas situs web telah diverifikasi.
Sertifikat EV tidak memberikan kekuatan enkripsi tambahan - sebaliknya, sertifikat EV menunjukkan bahwa verifikasi ekstensif atas identitas situs web telah terjadi. Sertifikat SSL standar memberikan sangat sedikit verifikasi identitas situs web.
Bagaimana Browser Menampilkan Sertifikat Validasi Diperpanjang
Pada situs web terenkripsi yang tidak menggunakan sertifikat validasi diperpanjang, Firefox mengatakan bahwa situs web itu “dijalankan oleh (tidak diketahui).”
Chrome tidak menampilkan sesuatu yang berbeda dan mengatakan bahwa identitas situs web diverifikasi oleh otoritas sertifikat yang mengeluarkan sertifikat situs web.
Ketika Anda terhubung ke situs web yang menggunakan sertifikat validasi tambahan, Firefox memberi tahu Anda itu dijalankan oleh organisasi tertentu. Menurut dialog ini, VeriSign telah memverifikasi bahwa kami terhubung ke situs web PayPal asli, yang dijalankan oleh PayPal, Inc.
Saat Anda terhubung ke situs yang menggunakan sertifikat EV di Chrome, nama organisasi muncul di bilah alamat Anda. Dialog informasi memberi tahu kami bahwa identitas PayPal telah diverifikasi oleh VeriSign menggunakan sertifikat validasi yang diperpanjang.
Masalah dengan Sertifikat SSL
Bertahun-tahun yang lalu, otoritas sertifikat digunakan untuk memverifikasi identitas situs web sebelum mengeluarkan sertifikat. Otoritas sertifikat akan memeriksa bahwa bisnis yang meminta sertifikat telah terdaftar, menghubungi nomor telepon, dan memverifikasi bahwa bisnis itu adalah operasi yang sah yang cocok dengan situs web.
Akhirnya, otoritas sertifikat mulai menawarkan sertifikat "khusus domain". Ini lebih murah, karena kurang berfungsi bagi otoritas sertifikat untuk dengan cepat memeriksa bahwa pemohon memiliki domain tertentu (situs web).
Phisher akhirnya mulai mengambil keuntungan dari ini. Phisher dapat mendaftarkan domain paypall.com dan membeli sertifikat hanya domain. Ketika pengguna terhubung ke paypall.com, browser pengguna akan menampilkan ikon kunci standar, memberikan rasa aman yang salah. Peramban tidak menampilkan perbedaan antara sertifikat hanya domain dan sertifikat yang melibatkan verifikasi identitas situs web yang lebih luas.
Kepercayaan publik pada otoritas sertifikat untuk memverifikasi situs web telah menurun - ini hanyalah salah satu contoh otoritas sertifikat yang gagal melakukan uji tuntas. Pada tahun 2011, Electronic Frontier Foundation menemukan bahwa otoritas sertifikat telah mengeluarkan lebih dari 2000 sertifikat untuk "localhost" - nama yang selalu merujuk ke komputer Anda saat ini. (Sumber) Di tangan yang salah, sertifikat semacam itu bisa membuat serangan orang-di-tengah lebih mudah.
Perbedaan Sertifikat Validasi yang Diperpanjang
Sertifikat EV menunjukkan bahwa otoritas sertifikat telah memverifikasi bahwa situs web dijalankan oleh organisasi tertentu. Misalnya, jika phisher mencoba mendapatkan sertifikat EV untuk paypall.com, permintaan akan ditolak.
Tidak seperti sertifikat SSL standar, hanya otoritas sertifikat yang lulus audit independen yang diizinkan menerbitkan sertifikat EV. Otoritas Sertifikasi / Forum Peramban (CA / Forum Peramban), organisasi sukarela dari otoritas sertifikasi dan vendor peramban seperti Mozilla, Google, Apple, dan Microsoft mengeluarkan pedoman ketat yang harus diikuti oleh semua otoritas sertifikat yang mengeluarkan sertifikat validasi tambahan. Ini idealnya mencegah otoritas sertifikat dari terlibat dalam "ras ke bawah," di mana mereka menggunakan praktik verifikasi longgar untuk menawarkan sertifikat lebih murah.
Singkatnya, pedoman tersebut menuntut agar otoritas sertifikat memverifikasi organisasi yang meminta sertifikat terdaftar secara resmi, bahwa ia memiliki domain yang dipermasalahkan, dan orang yang meminta sertifikat bertindak atas nama organisasi. Ini melibatkan memeriksa catatan pemerintah, menghubungi pemilik domain, dan menghubungi organisasi untuk memverifikasi bahwa orang yang meminta sertifikat berfungsi untuk organisasi..
Sebaliknya, verifikasi sertifikat hanya-domain mungkin hanya melibatkan sekilas catatan whois domain untuk memverifikasi bahwa pendaftar menggunakan informasi yang sama. Penerbitan sertifikat untuk domain seperti "localhost" menyiratkan bahwa beberapa otoritas sertifikat bahkan tidak melakukan verifikasi sebanyak itu. Sertifikat EV, pada dasarnya, merupakan upaya untuk memulihkan kepercayaan publik pada otoritas sertifikat dan mengembalikan peran mereka sebagai penjaga gerbang terhadap penipu.