Ни для кого не секрет, что в сети количество киберпреступников и методов получения личных данных исчисляется десятками тысяч. Возможно, вы и сами попадали на их «удочку», как пример мой знакомый, которому пришлось иметь дело со счетом на 700$ за смартфон, заказанный на его имя злоумышленниками. Но вот чего вы можете не знать, так это как, на самом деле, просто создать вполне реалистичный сайт для сбора ваших данных – паролей, информации о банковских картах и другой конфиденциальной информации. Подобные ресурсы часто являются элементом фишинговой схемы. В электронном письме есть ссылка на сайт, например, с предложением обучения или другой соблазнительной идеей, вы переходите на сайт и оставляете свои данные. И вот тут мы расскажем о самом печальном – более 70% таких фишинговых ресурсов уже имеют сертификаты SSL / TLS!
Согласно исследованиям международного консорциума в сфере борьбы с фишингом (APWG) около 75% фишинговых ресурсов на конец 2019 года использовали HTTPS. Злоумышленники могут очень легко приобрести сертификат безопасности, и ваш браузер вам радостно сообщит, что посещение данного сайта совершенно безопасно, и даже предложит ввести личные данные!
Конечно же, передача данных зашифрована, но легче ли вам от того, что конфиденциальную информацию видите только вы и мошенник, никаких третьих лиц? Эта проблема приобрела такие масштабы, что в США ФБР опубликовало призыв к гражданам: «Не доверяйте сайту только потому, что видите в адресной строке замочен или аббревиатуру HTTPS». Специалисты вторят этому выводу – просто наличия замочка и протока HTTPS больше недостаточно для доверия сайту.
Веб-браузеры еще больше усложнили жизнь пользователям. Большинство перестало отображать «зеленую строку» в поисковике, которая гарантировала надежность информации о владельце ресурса и являлась доказательством расширенной проверки (EV). В итоге многие компании отказываются от сертификатов с расширенной проверкой в пользу более дешевых, а то и вовсе бесплатных лишь с проверкой домена.
Наличие сертификата лишь с проверкой домена (DV) обеспечивает шифрование данных, а также является доказательством того, что объект, управляющий сайтом, контролировал домен на момент получения сертификата, однако это никак не гарантирует, что в данный момент ресурсом управляет тот же объект. Только сертификаты EV или OV могут дать пользователю гарантию безопасности и служить доказательством того, что доменом действительно владеет компания, которая им и управляет. Такой сертификат можно получить только в специализированной компании, которая проведет проверку объекта, прежде, чем сайт получит данный сертификат.
У пользователя в каждом браузере есть возможность проверить наличие сертификата EV и OV даже без зеленой строки, однако стоит отметить, что Safari и Internet Explorer по-прежнему отображают «зеленую строку», а при щелчке по иконке замочка можно увидеть информацию о компании-владельце. В остальных же браузерах для этого необходимо проделать некоторые манипуляции.
Но для собственной безопасности все-таки рекомендуем не полениться и проверить сертификат сайта, особенно, если вы собираетесь вводить на странице какие-либо конфиденциальные данные. Это защитит вас от мошенников.
Google Chrome
(Представленные скриншоты сделаны в версии браузера 81.0.4044.138)
Данный браузер отображает значок серого замочка слева от URL-адреса сайта для всех типов сертификатов SSL / TLS (DV, OV и EV):
Для получения дополнительной информации о сертификате веб-сайта, нажмите на замочек:
После этой операции вы получите следующую информацию – соединение защищено (зашифровано), а сертификат был выдан на имя компании ООО "ЭМАРО". Однако этого мало для доверия к сайту. Чтобы получить более подробную информацию – нажмите Сертификат:
Обратите внимание: в macOS (Chrome 80.0.3987.132) владелец веб-сайта не отображается на данном этапе, для получения информации о нем, щелкните по кнопке: Сертификат
В открывшемся окне вы можете просмотреть сведения о владельце сайта, выбрав строку «Субъект» на вкладке «Состав». (Примечание: в macOS эта информация отображается в другом формате, аналогичном Safari )
Сертификат DV отобразит только доменное имя сайта в поле «Субъект» :
Mozilla Firefox
(Скриншоты сделаны в версии Firefox 76.0.1)
Firefox отображает темно-серый замок слева от URL-адреса для всех сертификатов SSL / TLS (DV, OV и EV).
Чтобы получить более детальную информацию о сертификате веб-сайта, нажмите на иконку замка.
На этом этапе вы увидите, кому выдан данный сертификат:
Если у сайта сертификат DV, информация о владельце не будет отображаться:
Для получения дополнительной информации необходимо нажать на символ > в правой части диалогового окна.
На данном этапе вы увидите, где располагается компания, которой выдан сертификат.
Если хотите увидеть более подробную информацию, нажмите « Подробнее».
Откроется страница с полной информацией о сертификате и цепочке доверия. Информация о владельце сайта отображается под заголовком « Имя субъекта».
Для веб-сайта с сертификатом DV в разделе имя субъекта будет отображаться только имя домена.
Microsoft Edge
(Скриншоты сделаны в версии 44.18362.449.0)
Edge отображает значок закрытого замка слева и аббревиатуру https от URL-адреса для сертификатов SSL / TLS (DV, OV):
так как у нас EV SSL сертификат, мы можем увидеть наименование компании в адресной строке:
Чтобы получить больше информации о сертификате веб-сайта, нажмите на замок.
Во всплывающем окне мы видим, что соединение защищено (зашифровано) и прошла успешно идентификация сайта, также отображается информация о том, кому выдан сертификат.
Более подробную информацию можно получить, нажав на кнопку «Просмотреть сертификат».
В открывшемся окне вы можете просмотреть сведения о владельце сайта, выбрав строку «Субъект» на вкладке «Сведения».
В случае с сертификатом DV в поле «Идентификация веб-сайта» вы увидите лишь доменное имя.
Internet Explorer
(Скришноты сделаны в версии Internet Explorer 11.778.18362.0)
Для веб-сайтов с сертификатов EV Internet Explorer отображает адресную строку с зеленым фоном, значком закрытого замка и именем владельца сайта (отображены справа от веб-адреса).
Для сайтов с сертификатами DV и OV IE показывает значок закрытого замка, но не отображает название компании-владельца и зеленую строку:
Чтобы просмотреть информацию о сертификате сайта, нажмите на замочек.
Здесь отображается информация о компании-владельце сайта.
Для сайтов с сертификатом DV в данном поле отображается только доменное имя:
Чтобы просмотреть дополнительную информацию о сертификате веб-сайта, нажмите « Просмотр сертификатов».
В открывшемся окне вы можете просмотреть сведения о владельце сайта, выбрав строку «Субъект» на вкладке «Состав».
У сайта с сертификатом DV в данном поле отобразиться только доменное имя:
Apple Safari
(Скриншоты сделаны в версии Safari 13.0.5)
Для веб-сайтов с сертификатом EV Safari отображает зеленый замок и имя домена:
Для веб-сайтов с сертификатами DV и OV Safari отображает серый замок и черный веб-адрес:
Чтобы просмотреть информацию о сертификате сайта, нажмите на замок:
Для сайтов EV будет отображаться информация о владельце сайта:
Для сайта с сертификатом DV информация о владельце не отображается
Дополнительную информацию можно получить, нажав кнопку Показать сертификат:
Здесь отображается подробная информация о сертификате веб-сайта и всей цепочке доверия, ведущей к корневому сертификату.
Вы можете просмотреть сведения о сертификате, щелкнув треугольник слева от поля «Детали».
В пункте «Имя субъекта» вы увидите подробную информацию о владельце сайта. Для сайтов с сертификатом DV в поле будет отображаться только доменное имя.
Спасибо за выбор emaro-ssl.ru! Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь с нами по электронной почте support@emaro-ssl.ru, позвоните по телефону 8 800 555 14 99 или просто нажмите ссылку в правом нижнем углу этой страницы и свяжитесь с нами прямо сейчас. Вы также можете найти ответы на многие распространенные вопросы в разделе – Поддержка.