2022-07-22 12:09:18
Как проверить подлинность сайта (сертификаты)
Я знаю, что вы подустали от темы безопасности. Обещаю, мы отдохнем от нее, но сегодня финальный аккорд , чтобы смело закрыть тему на некоторое время— лонг рид, и после этого вы будете знать о безопасности больше среднестатистического пользователя примерно раза в два. Вдохните…
В одном из постов я писал, что при https происходит шифрование данных, передаваемых из вашего браузера на сайт.
Шифрование осуществляется с помощью так называемого “сертификата открытого ключа”. Дешифровка — с помощью парного к нему “закрытого ключа”.
Закрытый ключ находится на сервере сайта, а открытый - на вашем устройстве. Сертификаты могут иметь разное происхождение:
- самоподписанные сертификаты — обеспечивают шифрованный трафик, выпускаются самим же владельцем сайта, используются для отладки при разработке сайтов, но иногда вы натыкаетесь на сайты с такими сертификатами и браузер обычно предупреждает вас, что сайт не безопасен и перелагает либо не переходить на сайт, либо перейти на свой страх и риск - считать данный сертификат доверенным.
- подписанные удостоверяющим центром (бесплатные) - обеспечивают шифрованный трафик, выпускаются удостоверяющим центром бесплатно без проверки владельца, используются для некритичных сайтов сайтов. Таких сайтов подавляющее большинство
- подписанные удостоверяющим центром (усиленные сертификаты) - выпускаются некоей независимой организацией, которая взяла на себя ответственность утверждать, что данный сайт действительно принадлежит определенному владельцу. Используются (ну… должны использоваться) на сайтах с обработкой персональных данных и финансовыми транзакциями.
Сертификаты подписанные удостоверяющим центром могут иметь один из 3-х “уровней доверия”. Посмотреть уровень доверия сертификата на сайте можно следующим образом (может немного отличаться в разных браузерах ): кликните на “замочек” в адресной строке> соединение безопасно> сертификат валиден.
Вы должны увидеть описание сертификата как на картинке:
Сертификаты с упрощённой проверкой (DV — Domain Validation) — подтверждают только право владения доменом. Это самый простой вид сертификатов. Проверка проходит быстро — по e-mail. Доступно для физических и юридических лиц.
Сертификаты со стандартной проверкой (OV — Organization Validation) — подтверждают право владения доменом и существование организации. При выпуске сертификата проверяется наличие организации в открытых базах, валидность номера телефона организации. Доступно только юридическим лицам.
Сертификаты с расширенной проверкой (EV — Extended Validation) — подтверждают право владения доменом, существование организации и правомерность ее деятельности. При выпуске сертификата проводится максимально тщательная проверка юридического лица и деятельности компании.
Если не нашли ни DV, ни OV, ни EV — значит сертификат либо самоподписанный, либо бесплатный — вам решать какие данные там оставлять. Если пароль от этого же сайта, то это нормально. Но другой пароль или чувствительные данные - на ваш страх и риск.
#обычныепользователи #кибербеза
68 viewsedited 09:09