Por qué para algunos sitios web SSL los navegadores muestran información adicional, mientras que para otros no

14

Al visitar algunos sitios web https (como bancos en línea, etc.), la cadena url parece tener un pequeño cuadro verde adicional en el lado izquierdo, con algunos detalles de la organización.

Mientras que otros sitios web https solo muestran un candado

ver foto de ejemplo

Por qué es eso, y cuál es la diferencia.

    
pregunta dark_ruby 12.03.2015 - 16:13
fuente

3 respuestas

23

La distinción básica es entre un certificado que verifica el control de un dominio y un certificado que verifica la entidad del mundo real detrás del dominio. Con un certificado SSL estándar, todo lo que se verifica es que la entidad con el certificado controla legítimamente ese dominio. No significa que esa sea la entidad que creo que es; Podría registrarme en bankofamerica.co, y luego puedo obtener legítimamente un certificado validado de dominio para eso, y eso aparecería como un candado verde en los navegadores.

Lo que indica ese cuadro es que las CA han hecho más validación; Los certificados EV (el cuadro verde) generalmente requieren que se verifique realmente la existencia y el nombre de la empresa que los solicita. No pude obtener un certificado EV para ese sitio que dice "Bank of America", porque no tengo una compañía llamada Bank of America, e incluso si hiciera a la persona real revisando una solicitud de certificado EV (a diferencia de los certificados normales). , Los certificados de EV no son automáticos) probablemente sean algo sospechosos para alguien que dice ser un banco.

Así que esa es la función establecida de los certificados EV: verificar que el servidor que le envía una página web es el servidor correcto para ese dominio realmente no ayuda a menos que también sepa que el dominio es propiedad de la compañía con la que desea interactuar. Con Google y Facebook, ya sabes que sus sitios web son google.com y facebook.com, así que sé que quiero hablar con google.com, y si estoy hablando con la verdadera google.com es suficiente. Con otras organizaciones, no es necesariamente suficiente saber que estoy hablando con el verdadero so-and-so.com; También necesito saber que so-and-so.com es el sitio web real con el que quiero hablar.

    
respondido por el cpast 12.03.2015 - 17:43
fuente
6

Las CA (Autoridades de certificación) cobran tarifas adicionales por las "cajas verdes brillantes" porque hacen que los propietarios / operadores de sitios web crean que si su sitio tiene la mejor "caja verde brillante", sus visitantes confiarán más en usted. Esta táctica de propaganda generalmente ha funcionado muy bien para las Autoridades de Certificación, ya que la gente realmente cree que cuanto más grande sea el cuadro verde, más seguro es el sitio web.

Esto ha conducido a una iniciativa alternativa que puedes leer aquí: enlace

y aquí: enlace

La seguridad de un SSL con "no cuadro verde" vs uno con un "cuadro verde pequeño" o uno con un "cuadro verde brillante" o incluso un "cuadro verde grande y brillante" es básicamente la misma desde el punto de vista del cifrado . El cifrado es posiblemente el mismo nivel entre dos variantes (aunque algunas pueden ser diferentes, hay un mínimo aceptado). Entonces, al final, el tipo de caja verde que tiene un sitio web depende de la cantidad de papeleo que el solicitante puede entregar a la CA (para demostrar que son quienes dicen que son), así como la cantidad de dinero que querían pagar a una Autoridad de Certificación. (para el brillo) en un esfuerzo por dar a los visitantes la fachada de un mayor nivel de seguridad cuando, de hecho, el cifrado es igual y es en realidad una garantía de que se pagó dinero, se completó el papeleo y se otorgaron garantías monetarias limitadas para el sitio web .

Nota: Se sabe que los certificados autofirmados son riesgosos y su navegador le dará una advertencia muy clara cuando intente ver un sitio web que tenga uno. Debido a esta advertencia, los certificados autofirmados generalmente solo se utilizan para fines de prueba y personales, pero su millaje puede variar.

    
respondido por el KnightHawk 12.03.2015 - 17:00
fuente
3

Cuando los webmasters compran un certificado SSL. Tienen la opción de comprar certificados de validación extendida.

Para IE, la barra de direcciones se volvería verde, en Chrome mostraría un cuadro verde antes de la URL del sitio.

El punto principal de mostrar que la barra verde es demostrar que el sitio web está dirigido por las personas que dicen representar. Para comprar un certificado SSL de validación extendida, la mayoría de CA verifica la existencia legal, física y operativa de la empresa. Aquí hay un fragmento del sitio web de Digicert.

  

Al validar un sitio web para un certificado EV, DigiCert cumple   con un proceso que está estrictamente definido por el CA / Browser Forum. En   De hecho, DigiCert es un miembro fundador del CA / Browser Forum.

     

Como parte del proceso, uno de nuestros especialistas en validación se comunica con el   La organización solicitante debe confirmar que solicitó el certificado.   y que el solicitante está autorizado para recibir el certificado en   nombre de la organización. Manteniendo este elemento humano en el   proceso de validación, actividad fraudulenta o relacionada con phishing es mucho   más fácil de detectar.

     

Nuestro proceso incluye:

     
  • Verificar la existencia legal, física y operativa de la entidad.
  •   
  • Verificar que la identidad de la entidad coincida con los registros oficiales.
  •   
  • Verificar que la entidad tiene el derecho exclusivo de usar el dominio especificado.
  •   
  • Verificando que la entidad haya autorizado adecuadamente la emisión del certificado
  •   

Fuente: enlace

    
respondido por el Marc Woodyard 12.03.2015 - 16:18
fuente

Lea otras preguntas en las etiquetas