Os certificados SSL e seus recursos de criptografia de dados são indispensáveis para a segurança do site. No entanto, nem todos os certificados SSL são iguais. Os certificados SSL são de três tipos - Certificados DV, Certificados OV e Certificados EV.
Embora o nível de criptografia seja semelhante para todos os três tipos de certificados SSL , o processo de verificação, verificação e validação é muito diferente. Esses processos de autenticação definem a confiabilidade do site. Os certificados DV SSL são considerados particularmente perigosos.
Neste artigo, vamos ajudá-lo a entender por que eles são perigosos e quais alternativas existem para os certificados DV.
Certificados DV: Uma Visão Geral
Os certificados DV ou SSL validados por domínio são os certificados de segurança mais básicos. Como o nome sugere, esses certificados de segurança são emitidos pela Autoridade de Certificação (CA) após verificar e validar a propriedade do domínio. Os certificados DV são recomendados apenas para blogs pessoais ou sites estáticos. As empresas não devem optar por DV SSL, pois não inspira confiança entre os usuários.
Razões pelas quais os certificados SSL validados por domínio são favoritos para hackers
Os dados sugerem que 58% dos sites de phishing utilizam certificados SSL para estabelecer 'legitimidade', visto que hackers e usuários entendem o risco de não usar SSL. E DV SSL são os favoritos dos hackers!
Normalmente, a CA enviaria uma confirmação por e-mail para uma id de e-mail autorizada encontrada nos registros WHOIS do domínio. Por exemplo, admin @ , webmaster @ , administrator @ , postmaster @ , etc., ou outros contatos de domínio. O proprietário do domínio deve seguir o processo no e-mail para confirmar a propriedade do domínio.
Para examinar e verificar a propriedade do domínio, a Autoridade de Certificação também pode usar métodos de autenticação alternativos, como
- Pesquisa DNS CNAME para o domínio (o proprietário do domínio cria um registro DNS verificando o controle do domínio)
- Pesquisa de arquivo por HTTP (o proprietário do domínio deve colocar o arquivo de verificação no site que busca proteção SSL).
Se o requerente concluir qualquer um desses processos de verificação, ele provou que tem controle sobre o site que precisa ser protegido com SSL . Eles receberão um certificado DV SSL. A entidade não precisa apresentar nenhuma outra documentação ou papelada da empresa. Eles não precisam estabelecer que são uma entidade legal. Além disso, é rápido, fácil e econômico de se obter.
Os hackers, que procuram fraudar os usuários ou cometer ataques de phishing, podem simplesmente criar um site e comprar um DV SSL sem muitos problemas. Os certificados DV apenas demonstram que o proprietário do site tem controle administrativo sobre o domínio. Este certificado de segurança divulga a menor quantidade de informações sobre o proprietário do site ou a entidade com a qual o usuário está interagindo ao visitar um site.
Os hackers podem criar um site de phishing com erros ortográficos de um nome de domínio legítimo, usar a conta de webmail gratuita para concluir a verificação e obter um certificado SSL validado por domínio. O usuário pode notar o sinal do cadeado e não o endereço com erro ortográfico. Eles podem acabar divulgando informações confidenciais, senhas, baixar malware ou fazer pagamentos ao hacker, entre outros.
Que tipo de certificado SSL uma empresa deve escolher?
As empresas devem considerar os certificados OV ou EV SSL para nutrir maiores níveis de confiança entre os visitantes e usuários do site.
Os certificados SSL validados pela organização ou OV fornecem um alto nível de garantia aos usuários. Esses certificados são emitidos por CAs somente depois que a propriedade da empresa é examinada, verificada e validada junto com a propriedade do domínio. A CA autenticaria as informações legais, a papelada da empresa, verificaria a localização física e assim por diante, juntamente com a validação do domínio. Diz ao usuário que está lidando com a mesma entidade cujas informações estão listadas no certificado.
EV ou Extended Validation SSL fornece o mais alto nível de garantia aos usuários. Seus recursos sem comprometimento, garantias e processos completos de verificação e autenticação fazem os usuários se sentirem muito mais seguros.
Além da verificação da organização, eles incluem uma verificação de terceiros de acordo com os protocolos EV. Ao contrário dos certificados OV, eles também fornecem dicas visuais, como exibição do nome da empresa ao clicar no cadeado, selos dinâmicos do site e assim por diante. Eles têm um preço premium, mas é um investimento que vale a pena fazer para e-commerce e outros sites dinâmicos.
Uma palavra de cautela: você deve escolher a autoridade de certificação certa. Se a CA usa protocolos de validação combinados, eles podem emitir certificados OV SSL para hackers. Se o nome de domínio consistir em um conjunto de caracteres mistos, a CA deve verificar os conjuntos de caracteres mistos com domínios de alto risco conhecidos e a solicitação de certificado deve ser sinalizada como de alto risco. Eles devem conduzir autenticação adicional para garantir que o candidato seja uma organização legítima.
O caminho a seguir
Dado o rápido crescimento de sites falsos, phishing e fraude, certificados SSL confiáveis são vitais. Ele permite que você nutra maior confiança nos usuários, garantindo-lhes que estão lidando com uma marca legítima e não com um hacker. Portanto, a Validação Estendida ou o Certificado SSL Validado pela Organização de uma CA confiável como a Entrust é um investimento que você deve fazer em seus sites. A Entrust colaborou com a Indusface para ser o Distribuidor Autorizado de seus certificados SSL / TLS na Índia. Por meio dos certificados SSL da Entrust, a Indusface fornece criptografia forte e confiança no navegador com suporte 24 horas para o seu negócio.
