Hmmm … dicono solo molto. La certificazione DV non dice nulla.
Ma non ha aiutato l’utente medio a essere più sicuro. A partire dal Dichiarazione di Van Crum:
Attraverso la nostra ricerca e un sondaggio sul lavoro accademico passato, il team di Chrome Security UX ha stabilito che l’interfaccia utente EV non protegge gli utenti come previsto (vedi ulteriori letture di seguito). Gli utenti non sembrano fare scelte sicure (come non inserire la password o le informazioni sulla carta di credito) quando modificano o rimuovono l’interfaccia utente, poiché è necessario che l’interfaccia utente EV fornisca una protezione significativa.
(Vedere la dichiarazione per fonti più complete)
Firefox utilizza la stessa base per la loro decisione.
E lasciatemi essere di parte, ma mi fido dei ricercatori dei maggiori produttori di browser su questo più che di alcuni trainer casuali con alcuni “indizi” aneddotici.
se vai https: // miodominio.tld E con la certificazione LE, non sai se stai parlando con il mio dominio o sistema a cui sei stato inviato tramite un attacco.
L’idea di ottenere un certificato DV è solo per te noi Sappi per certo che stai parlando con miodominio.tld.
E mentre i certificati DV vengono emessi regolarmente in modo errato, ciò è più difficile con i certificati EV. Gli aggressori devono già entrare in un’autorità di certificazione o devono riuscire a ottenere un certificato radice attendibile sul tuo computer. Ma se lo facessero, ti imbatteresti in problemi più grandi.
Stai sopravvalutando quanto possa essere difficile ottenere una certificazione EV. Nel 2017 Un ricercatore ha dimostrato quanto sia facile ottenere una certificazione EV (Maggiori informazioni su come l’ha gestita Sul suo blog).
Molto delizioso Questa storia è del 2017Dove qualcuno ha una certificazione EV per “Stripe, Inc.” (Payment Service Provider!), Semplicemente costituendo una società con lo stesso nome, ma in uno stato degli Stati Uniti diverso dall’originale.
Questa indagine È anche un interessante materiale di lettura. Dei siti di phishing esaminati, lo 0,4% aveva un certificato EV valido. Non sembra molto, ma se l’EV è buono, dovrebbe essere dello 0%. Trovo davvero scioccante che così tanti siti di phishing (39 in quello studio) abbiano la certificazione EV! Soprattutto perché sospetto che verrà utilizzato principalmente per gli obiettivi più redditizi.
No, non è perfetto, ma se l’abuso si verifica come lo descrivi, c’è una guida completa su chi ne era responsabile. Non avviare un’azienda solo per ottenere una laurea di nome.
Le mie fonti sopra indicano che è davvero molto più facile di quanto pensi. Dal primo blog di storia:
… per costituire una società nel Regno Unito è necessario disporre di un indirizzo verificabile e di un documento di identità valido. Allora cosa fa l’attaccante? Ebbene, possono acquistare un documento d’identità rubato valido per poche sterline dal cosiddetto “dark web” e utilizzare l’indirizzo di servizio come indirizzo dell’azienda e casa del direttore. Questi indirizzi di servizio possono essere acquistati online gratuitamente.[…]
Ora finalmente, ho iniziato a cercare un’azienda per incorporare questa nuova società per mio conto e dopo una buona ora di ricerca su Google, ho trovato l’azienda giusta. Non dirò il nome dell’azienda qui per scopi legali, ma dirò che il processo è stato molto semplice; Nessuna verifica dell’identità per quanto ne so e costa meno di £ 40. Si è svolto il giorno successivo alla costituzione della società da parte della Companies House.
Le testimonianze di veicoli elettrici non sono sacre, mentre molte persone pensano che lo siano. In combinazione con il fatto che le persone prestano pochissima attenzione alla barra dell’URL verde (e, cosa più importante: la sua assenza) e che spesso vengono visualizzati nomi di società confusi, mi rendo conto che il valore aggiunto della barra dell’URL verde non è realmente presente ( più)).