https дает пользователю чувство ложной безопасности

Группа компаний, выпускающих SSL-сертификаты для сайтов с шифрованным соединением (https), планирует в следующем году пересмотреть практику выдачи этих документов, поскольку зачастую они создают у пользователя чувство ложной безопасности и приводят к успеху мошенников.



Самая серьезная проблема значка желтого замка в браузере, обозначающего защищенное соединение, — в невнимательности при выдаче сертификатов. SSL-сертификат включает ключ шифрования, название организации-обладателя и срок годности, подписанные издателем. Несколько лет назад проверка заявителя на принадлежность к указанной организации начала проводиться «спустя рукава». Некоторые издатели довольствовались лишь фактом существования почтового ящика, откуда пришел запрос. Этим воспользовались фишеры. Впрочем, им необязательно выдавать свой сертификат за реальный: попадая на подставной сайт по защищенному соединению, пользователь видит тот же самый желтый замок. Редко кто догадывается посмотреть подробности сертификата и увидеть, что сертификат выдан совсем другой организации. «Проблема с базовым сертификатом — в низком уровне проверки заказчика, а методы подтверждения в браузерах нелегки для среднего пользователя», — сказал Джим Мелони (Jim Maloney), директор по безопасности компании Corillian, предоставляющей технологии онлайновых платежей более чем 100 банкам.

Браузеры — тоже часть проблемы. Желтый замок выглядит всегда одинаково со времен его изобретения Netscape «на заре» всемирной паутины. Microsoft и другие производители браузеров собираются изменить его в Internet Explorer 7. Вместе с издателями сертификатов VeriSign, Comodo, GeoTrust и Cybertrust, объединившимися в CA Forum, компании пересмотрят стандарт и сделают сертификаты более надежными. Ими будут выпускаться сертификаты «высокой надежности». Представители форума уже три раза встречались в этом году по данному вопросу. Фишеры украли у финансовых организаций как минимум $400 млн. в прошлом году, по данным Financial Insight при IDC. Тем временем объемы онлайновых транзакций растут. К 2010 году их оборот в США составит $329 млрд. против $172 млрд. в этом году, по данным Forrester Research.

securitylab.ru​