Pentru a fi impărtăşite informaţii online, consumatorii şi companiile au nevoie să ştie că numerele cardurilor, parolele şi alte informaţii personale şi corporative sunt în siguranţă. SSL este tehnologia care protejează o mare parte din Internet şi, esenţialmente, ajută economia digitală. Activează simbolul lacătului în caseta adreselor web, informînd consumatorul că e sigur să transmită datele sale şi că sub nici o formă, nimeni, în afară de destinatar, nu le poate descifra. Toate datele transmise via SLL sunt criptate, iar fără această tehnologie, aţi fi transmis datele dumneavoastră unui Internet public, sub forma unui text simplu. E ca şi cum aţi transmite datele dumneavoastră bancare printr-un card postal şi riscaţi ca acestea să fie furate. SSL a fost creat anume pentru asta: pentru a furniza criptarea unui Internet neprotejat. Însă există o problemă: criptarea e utilă doar în cazul în care dumneavoastră sunteţi sigur de cine e destinatarul şi că nimeni, în afară de acesta, nu poate descifra datele. Aici certificatele îşi asumă importanţa.

Pentru a activa criptarea, website-urile utilizează “certificate digitale” emise de către organizaţii numite “autoriţăti de certificare” (Certification Authority sau CA), ca de exemplu Symantec, Thawte şi Geotrust. O autoritate de certificare e un intermediar de încredere care verifică detaliile unui candidat utilizînd o varietate de date, legături telefonice şi alte metode. Însă e de luat aminte că acest CA NU verifică încrederea în companie, el verifică doar existenţa acestei încrederi şi emite credentiale (certificatele digitale).

În prezent, există trei tipuri de certificate SSL, care sunt vîndute de majoritatea autorităţilor de certificate: Certificate DV (validate după domenii), OV (validate după organizaţie) şi EV (cele cu validare extinsă).

Acest certificat este emis rapid, deoarece este nevoie doar de a dovedi dreptul de a utiliza un nume de domeniu şi nici o altă informaţie comercială nu e validată. De exemplu, dacă cineva ar cumpăra domeniul www.myfavoritestore.com, e posibil să se obtină un certificat SSL DV, făcînd doar o solicitare autoritătilor de certificare şi răspunzînd la un e-mail. Imediat dupa răspuns, se emite certificatul. Aşa, solicitantul poate crea website-ul şi accepta carduri de credit cu toată siguranţa. Consumatorii văd lacătul la navegator şi ştiu că tot traficul server-ului este criptat. Problema în acest caz însă, e faptul că nici o validare nu este facută ca să demonstreze că myfavoritestore.com este o companie legitimă.

Pentru acest tip, CA validează anumite informaţii comerciale, nu doar numele de domeniu, pentru a garanta că candidatul e cine spune că e. De exemplu, pentru a achiziţiona un certificat pentru www.amazon.com, Amazon trebuie să trimită CA-ului nişte informaţii despre server-ul Web, pe lîngă dovada existenţii companiei. Persoana ce solicită certificatul, e şi ea validată ca funcţionar al companiei. CA validează aceste date, iar apoi emite certificatul. Avînd certificatul, website-ul poate să efectueze tranzacţii sigure folosind SSL

Ca răspuns la plîngeri şi pentru a întări procesele de autentificare şi siguranţă online, autorităţile de certificare au creat în 2006 o asociaţie de sector numită CA/Browser Forum, dînd început la un nou tip de certificat: Extended Validation. În acest caz, CA face o analiză imbunătăţită a candidatului pentru a creşte nivelul încrederii în companie, la fel ca şi vizualizarea browser-ului. Acesta este un exemplu de certificat EV:

EVSSL

Acest exemplu ne arată clar că certificatul şi website-ul aparţine companiei “Marketware – Soluţii pentru Piaţa Digitală, Lda “ , Lisabona, Portugalia. Aceste informaţii au fost verificate de către CA după o analiză amanunţită al documentelor corporative, verificarea identităţii candidatului şi consultarea informaţiilor din baza de date. În plus, toate browser-ele ne arată (cum ar fi simbolul lacătului sau caseta adresei web verde) că compania foloseşte un certificat EV şi că identitatea acesteia a fost verificată amănunţit, cum este arătat în figura de mai jos.

EVSSL

Aşa, certificatul EV ajută compania sa-şi stabilească legitimitatea şi îi oferă acesteia o metodă de a soluţiona probleme ca phishing, malware şi tot tipul de fraude.

  • Creşte încrederea utilizatorilor website-ului, la fel şi volumul de afaceri online ale companiei dumneavoastră;
  • Dificultăţi în a crea atacuri de phishing sau fraudă de identitate;
  • Identificarea adecvată în faţa utilizatorilor.
În comparaţie cu certificatele DV, în certificatele EV sunt incluse şi validate de către CA mult mai multe informaţii.

Este foarte simplu: în exemplul anterior, myfavoritestore.com nu e o companie reală. Cum este posibil?

1. Infractorul cumpără domeniul, utilizînd informaţii false şi card de credit furat, iar certificatul îi este emis infractorului.

2. După ce îşi achiziţionează drepturile de domeniu, infractorul solicită certificatul de la un CA. CA verifică doar dacă candidatul poate răspunde la un e-mail de pe acest domeniu.

3. Infractorul creează pagini web ce simulează vînzări

4. Consumatorii sunt atraşi spre acest website cu e-mail-uri şi anunţuri false.

5. Vizitînd website-ul şi văzînd simbolul lacătului, consumatorul crede ca datele pe care le împartăşeşte sunt în siguranţă.

6. Infractorul fură datele, iar consumatorul nu îşi primeşte comanda. Iar cînd acesta va examina certificatul DV, nu va găsi nici o informaţie în afară de numele domeniului, nici măcar o adresă verificată.

Un studiu recent realizat de Netcraft ne arată că 78 % din certificatele emise pentru servere ce reprezentau site-uri false erau de tip DV. Victimele cele mai “interesante” pentru infractori erau website-urile cunoscute pentru tranzacţiile sale e-commerce, ca de exemplu Visa, Apple, PayPal, Mastercard şi multe alte bănci străine.

În ultimul timp, Apple ID este “de foarte mare valoare” pentru infractori, care creează site-uri false cu certificate DV pentru a atrage consumatorii, iar cu credentiale, aceştia pot localiza telefoane, achiziţiona pe iTunes şi să aibă toată informaţia despre victimă.

Totuşi, companiile mari nu sunt unicele victime, şi companiile mici sau medii sunt la fel. De exemplu, credenţialele utilizatorului unei companii mici şi invadate pot fi folosite în alt website, le fiind uşor infractorilor să folosească aceleaşi informaţii în website-uri diferite.

În ciuda riscurilor, un studiu ordonat de către Symantec demonstrează că mai mult de 1/3 din website-urile de e-commerce folosesc certificate DV (Studiu realizat de către buySAFE, Inc. în numele Symantec-ului, in Hidden-Dangers-Lurking-in-E-Commerce).

Certificatele DV se emit foarte rapid şi sunt foarte economice, pentru că nu există proceduri de validare manuală.

În ciuda faptului că toate autorităţile de certificare trebuie să realizeze o “verificare de fraudă” de bază, infractorii au adaptat metode de a “fugi” de aceste verificări.

Spre exemplu, numele “PayPal” este ţinta fraudelor, aşa că autorităţile de certificare au verificări automatice ce caută nume asemănătoare, ca “pay-pal”, “securepaypal”, “p@ypal”, etc. Totuşi, recent a fost emis un certificat pentru paypol-france.com, care a fost mai apoi utilizat în iniţierea unui atac de phishing şi furtul credenţialelor utilizatorilor. Nu este clar cînd aceşti utilizatori au fost minţiţi pentru a împărtăşi datele personale. Ar fi fost mult mai dificil pentru un infractor să obţină un certificat OV sau EV pe acest nume.

Comparaţi certificatele de mai jos. În stînga avem certificatul website-ului “bookfair.com” şi în dreapta avem certificatul “ebookers.com”. Un consumator, care caută bilete de avion de exemplu, putea fi redirecţionat spre aceste website-uri şi atunci, cum poate consumatorul şti care dintre ele a fost verificată? Analizînd certificatul din stînga, putem observa că nu este indicată nici o informaţie comercială, ceea ce ne face să concluzionăm că certificatul din stînga este un certificat DV. Cel din dreapta, însă, conţine date comerciale detaliate.

Cu toate că compania din stînga este presupusă autentică, datele nu au fost validate, iar website-ul poate fi unul fals.

Book

Nota: acest website nu este cunoscut ca un website fals sau necinstit. Sursa: Paper Symantec Hidden-Dangers-Lurking-in-E-Commerce

De obicei, infractorii creează website-uri false pentru a fura identităţi şi account-uri, iar pentru a reda mai multă legitimitate şi a simula website-ul real, ei adaugă multe elemente grafice şi obţin certificat SSL.

Cum a mai fost menţionat, este uşor să obţii un certificat DV. Dupa ce infractorul îşi achiziţionează drepturile de pe domeniu, acesta poate solicita un certificat DV şi îl poate primi în doar o chestiune de minute. Website-ul este activat şi infractorul atrage consumatorii spre el. Aceştia vad lacătul şi îşi împărtăşesc datele sale personale, care pot fi distribuite pe tot parcursul reţelei de infractori.

În figura de mai jos, ne este arătat un exemplu de phishing şi website-ul unde consumatorul a fost atras dupa ce a dat click pe link.

Faptul că infractorii fac totul ca să obţină un certificat ne indică că consumatorul sa obişnuit să vadă lacătul sau “https” înainte de a face o tranzacţie. Totuşi, multe din aceste website-uri false stau active doar zile sau chiar ore. Asta înseamnă că companiile legitime solicită certificatul doar o dată în cîţiva ani. Infractorii fac asta regulat şi nu ar face atîtea eforturi dacă nu ar fi avantajos pentru ei.

Website-ul SSL Blacklist (https://sslbl.abuse.ch/) furnizează o listă de websites SSL asociate cu malware sau botnet. O evaluare ale datelor din cele mai recente cinci luni indică că toate certificatele din listă sunt de tip DV sau autosemnate. Acest lucru confirmă cu cîtă usurinţă se pot obţine aceste certificate, şi această usurinţă atrage infractorii.

Afisare cos

Coșul este gol
Logo Digicert
Logo Thawte
Logo Geotrust
Logo Comodo
Logo RapidSSL
Logo marketware