Nové bezpečnejšie certifikáty môžu znížiť bezpečnosť

DSL.sk, 19.2.2007

Zaujímavú štúdiu o skutočnom dopade nových Extended Validation (EV) certifikátov, ktoré budú zabezpečovať webové stránky, vypracovala Stanfordská univerzita v spolupráci s Microsoft Research.

Výsledky štúdie pritom ukazujú, že nové certifikáty môžu dokonca v niektorých prípadoch znížiť reálnu bezpečnosť užívateľov.

Nový typ Extended Validation (EV) certifikátov má byť bezpečnejším typom certifikátov zabezpečujúcich webové stránky, garantujúcim detailné preverenie vlastníka stránky. Stránka zabezpečená EV certifikátom bude identifikovaná zelenou farbou celého políčka s adresou vo všetkých prehliadačoch.

Technické požiadavky na EV certifikáty sa nebudú odlišovať od súčasných používaných technológií, certifikačné autority budú musieť ale dôkladne preveriť žiadateľa o certifikát napríklad v podobe overenia sídla na fyzickej adrese, ktorá bude uvedená v údajoch v certifikáte.

V súčasnosti je možné získať dôveryhodné certifikáty pre webové stránky aj bez dostatočnej kontroly a tak sa čoraz viac množia prípady phishingových útokov s použitím zabezpečených stránok.

Realizovaná štúdia testovala tri skupiny užívateľov, skupinu, ktorej bolo zabezpečenia "zelenými" EV certifikátmi vysvetlené, skupine, ktorej boli pred testom ukázané stránky zabezpečené EV certifikátmi a teda zeleným políčkom s adresou, neboli na to ale upozornení a skupine, ktorá sa so stránkami zabezpečenými EV certifikátmi ešte nestretla.

Štúdia zistila dva podstatné rozdiely v správaní užívateľov.

U liniek vedúcich na špecifickú potenciálne užívateľom podozrivú podstránku hlboko v hierarchii legitímnych zabezpečených stránok skupina poučená o zelených certifikátoch tieto v 85% prípadov správne vyhodnotila ako legitímne, u zostávajúcich dvoch skupín si legitímnosťou stránky bolo istých len 40% užívateľov.

Na druhej strane ale u typu útoku picture-in-picture, u ktorého podvodná stránka zobrazí v okne prehliadača simulované vykreslené pop-up okno, označilo chybne podvodnú stránku za dôveryhodnú opäť až 85% užívateľov poučených o EV certifikátoch, keďže sa spoľahli na ich bezpečnosť po identifikovaní zeleného políčka s adresou.

U ostatných dvoch skupín na tento typ útoku naletelo približne 50% užívateľov.

Aj u ďalších dvoch testovaných typov podvodných stránok označilo mierne viac užívateľov poučených o EV certifikátoch podvodné stránky za legitímne.

Štúdiu je možné sťahovať tu (PDF súbor).


Najnovšie články:



Diskusia:

PaloD Od: PaloD | Pridané: 19.2.2007 11:52 Never nikomu a nicomu.....bŕŕŕ.....hlavne nie tomu, ze si na stranke "svojej" banky a robis uhrady. Ved to je uz paranoja...:-(( Odpovedať Hodnotiť:

thriler Od: thriler | Pridané: 19.2.2007 15:38 Ved uz len ten nadpis si odporuje ako moze byt nieco bezpecnejsie, ked sa tym znizuje bezpecnost? Odpovedať Hodnotiť:

Thim Od: Thim | Pridané: 19.2.2007 15:50 Článok je napísaný nekvalitne a sú tam chyby. Autor sa do toho určite nerozumie. Práve som objednávateľom jedného EV certifikátu od Verisignu. EV Certifikát neznamená zmena vlastnosti certifikátu, príp. zvýšenie bezpečnosti, je to len atribút navyše, že pri jeho vydávaní bola zvýšená pozornosť. Pre objednávateľa to neznamená len vysoký poplatok (€2500/2 roky), ale aj oveľa viac byrokracie. Aj klasický SSL certifikát nevydali len na obyčajnú objednávku. Majú veľmi dobré zdroje, ako zistiť, či objednávateľ je skutočným vlastníkom domény. Dokument nehovorí o znížení bezpečnosti. To je prehnané. ale o tom, že nijakým spôsobom bezpečnosť nerozširuje. ... Odpovedať Hodnotiť:

julo Od: julo | Pridané: 19.2.2007 16:42 mal by si asi pozornejsie citat alebo aspon si to precitat predtym, ako nieco komentujes... uplny dement. a ano, na zeleno to budu mat vsetky browsery. Odpovedať Hodnotiť:

Thim Od: Thim | Pridané: 19.2.2007 17:42 A ty to máš odkiaľ, ty expert? Internet Explorer 7 indicates the presence of these certificates by turning the address bar green and providing more information about the certificate owner, as shown in Fig. 1. Či to bude na zeleno, to závisí od vývojárov jednotlivých browserov. Firefox 2 začal farbiť nazeleno ako prvý, a to so všetkými SSL kľúčmi. Firefox to nerozlišuje. Odpovedať Hodnotiť:

julo Od: julo | Pridané: 19.2.2007 18:25 Ty si radsej nic nekupuj, hlupak, lebo nevies, co kupujes. Alebo navstiv ocneho. Firefox farbi na zlto bezne SSL certifikaty. Ty si ale fakt debil asi, lebo v clanku sa pisne presne to, na co si sa stazoval, ze sa tam nepise. A k ostatnym browserom sa nevyjadruj, lebo si asi ziadny este nevidel. Odpovedať Hodnotiť:

Thim Od: Thim | Pridané: 19.2.2007 15:51 ... A posledný blud: Nie je pravda, že EV SSL sfarbí adresný URL riadok nazeleno vo všetkých prehliadačoch. Týka sa to len IE7 vo Windows Vista. Vo Windows XP SP2 sa v tomto prehliadači sfarbí na zeleno s EV až po aplikovaní voliteľnej (optional) aktualizácie koreňových certifikátov, a to len zo stránky windowsupdate.microsoft.com. Inak môžte mať riadok sfarbený nazaleno aj s klasickými SSL certifikátmi vo Firefoxe 2. Odpovedať Hodnotiť:

Thim Od: Thim | Pridané: 19.2.2007 15:53 Moje odporúčanie - Onen PDF dokument si prečítajte. Avšak tento článok ignorujte do zabudnutia. Odpovedať Hodnotiť:

salmek Od: salmek | Pridané: 19.2.2007 17:00 Kokso ty si co za kretena? Najskor sa aspon pozri o com je ten clanok a to PDF... Odpovedať Hodnotiť:

Thim Od: Thim | Pridané: 19.2.2007 17:42 No comment. Odpovedať Hodnotiť:

Pridať komentár