Certificado SSL para sitios "tipográficos"

5

Digamos que tengo un sitio web, citiibank.com. (extra i) ¿Las autoridades emisoras de certificados emitirán un certificado https al sitio? Por lo que saben, es un sitio web válido, cuyo nombre es similar a otro sitio web. ¿Existe alguna validación de las credenciales del sitio web antes de emitir certificados?
El contexto para preguntar esto es de mi uso típico de sitios seguros, veo el candado y generalmente procedo.

    
pregunta jogabonito 18.12.2014 - 15:06
fuente

3 respuestas

8

La respuesta corta: si posee un dominio, puede obtener un certificado para ese dominio, punto. Su similitud con otro dominio es irrelevante.

La pregunta más grande parece ser "qué tipo de mirar en una página https debo hacer para asegurar que sea realmente la página que creo que es antes de ingresar mis credenciales".

La respuesta breve a esta pregunta es que debe buscar que la barra de direcciones se vuelva verde, lo que indica un certificado EV (ver más abajo). Puede considerar además utilizar algo similar al proyecto Perspectivas ( sitio ) que omite el sistema de CA y Es vulnerabilidades y proporciona un control independiente.

Hay algunas cosas acerca de los certificados que debe saber para comprender mejor esta respuesta:

De hecho, hay al menos tres niveles diferentes de certificado https (consulte aquí por ejemplo, y aquí para obtener una lista más completa de los tipos de certificados) :

  • Certificados de validación de dominio (DV)
  • Certificados de validación organizativa (OV)
  • Certificados de validación extendida (EV)

Un certificado DV mostrará el candado en su navegador. Cuando una CA emite un certificado DV, está afirmando que la persona de la que obtuvo este certificado tiene el control del nombre de dominio en cuestión. Eso es todo. Esto se puede certificar, por ejemplo, mediante un bucle de correo electrónico a, digamos, [email protected], o por el CV que solicita que se coloque información aleatoria en una página específica de ese dominio.

Un certificado OV requiere más comprobaciones que eso, y un certificado EV requiere aún más comprobaciones. Al emitir un certificado EV, la CA está afirmando que la entidad nombrada en el certificado realmente existe, y que alguien en esa compañía realmente solicitó el certificado. Cosas como el número DUNS para la compañía son revisadas y revisadas.

Un certificado EV generalmente cambia la barra de direcciones a verde de alguna manera. Esto le brinda toda la seguridad que puede obtener del sistema de CA de que el servidor web con el que está hablando es lo que cree que es (si alguna CA de su navegador ha emitido un certificado falso para ese sitio en el que se encuentra) problema - de ahí el problema con el sistema de CA).

Confusamente, los certificados OV a menudo no tienen una forma especial de distinguirlos de los certificados DV. Suspiro.

Tenga en cuenta que el proyecto de perspectivas no es infalible. Lo uso yo mismo, y siempre informa que se está suplantando a Google cada vez que me conecto. Esto se debe a que Google cambia sus certificados tan rápidamente y tiene muchos de ellos, no debido a un ataque real. Aún así, para muchos sitios proporciona una doble verificación útil.

    
respondido por el stochastic 18.12.2014 - 17:15
fuente
3

Depende de la CA y del tipo de certificado. Los certificados ordinarios se emiten inmediatamente después de verificar que usted controla el dominio en cuestión; no hay más rastreos (así es, entre otras cosas, cómo se emiten los certificados StartSSL gratuitos: verifican que puede recibir correo en una dirección tradicionalmente controlada por el administrador del sistema). Algunos certificados implican la emisión a una organización específica y, en ese caso, también hacen un seguimiento y se aseguran de que tenga una empresa real con el nombre que reclama. Del mismo modo, si un ser humano está involucrado en la emisión del certificado, entonces pueden sospechar independientemente del tipo de certificado. Sin embargo, debido a cómo funcionan las entidades de certificación, solo necesita uno para emitir un certificado, y StartSSL lo haría. No confíe en los certificados HTTPS para asegurarse de que está en la URL correcta.

    
respondido por el cpast 18.12.2014 - 15:15
fuente
1

Si posee un dominio que es muy similar a otro, aún puede obtener su propio SSL. Se le emitirá a usted, como propietario, y no a la otra entidad. Si bien no estoy seguro de que citiibank.com sea el mejor ejemplo, existen numerosos sitios similares por el hecho de que los nombres comunes son los dominios de elección. Si un tipo llamado Bob posee bob.com y tiene un SSL, no debería haber ninguna razón por la cual el propietario del restaurante Bob's tampoco pueda tener un SSL en bobs.com.

    
respondido por el KnightHawk 18.12.2014 - 15:16
fuente

Lea otras preguntas en las etiquetas