Сертификаты против фишинга

В Internet Explorer обеспечена поддержка новой технологии сертификации надежных Web-сайтов

Корпорация Microsoft и ее партнеры намерены повысить безопасность Web с помощью новой технологии, помогающей бороться с фишингом.

На конференции RSA Conference, проходившей в Сан-Франциско, представители корпорации объявили, что привлечение владельцев Web-сайтов к участию в новой процедуре сертификации поставит еще один барьер на пути мошенников. В соответствии с новой процедурой, независимые провайдеры сертификатов безопасности (например, VeriSign или Entrust) будут придерживаться более жесткого набора инструкций при проведении аутентификации Web-сайтов.

В результате выполнения данной процедуры Web-сайты получают сертификат Extended Validation Secure Sockets Layer (EV SSL), который помогает пользователям удостовериться в том, что они оставляют свою конфиденциальную информацию действительно на легальном сайте.

Microsoft раньше других разработчиков браузеров обеспечила поддержку сертификатов EV SSL. Соответствующие механизмы появились в программном обеспечении Internet Explorer к концу января. Но для того чтобы данная технология получила по-настоящему широкое распространение, ее должны поддержать и владельцы Web-сайтов. «Корпорация намерена уже сейчас продемонстрировать действенность этих организационно-технологических мер, — отметил менеджер по продуктам подразделения Microsoft Internet Explorer Маркеллос Диоринос. — С каждым днем все больше и больше организаций заявляют о своей поддержке EV SSL».

Сайты, получившие сертификат EV SSL, выглядят несколько иначе, чем уже существующие безопасные сайты, у которых в окне Web-браузера обычно появляется маленькая пиктограмма, изображающая замок.

Когда Internet Explorer открывает страницу сайта, поддерживающего стандарт EV SSL, изображение замка также присутствует, но кроме того еще и адресная строка подсвечивается зеленым цветом. Пользователи могут увидеть также, в какой стране находится сайт и кем выдан сертификат.

Web-сайты получают сертификаты EV SSL в органах сертификации, а те в свою очередь проверяют необходимые документы: убеждаются в том, что владеющая сайтом компания зарегистрирована местными властями, что у нее имеется законный адрес и что управление ею действительно осуществляется через указанный Web-домен. В некоторых случаях орган сертификации может даже направить представителя, который подтвердит, что данное предприятие является именно тем, за кого себя выдает.

«Если у вашей компании нет необходимых документов, она не сможет получить сертификат, — пояснил менеджер VeriSign Тим Галлан. — Если же вы в установленном порядке зарегистрированы как публичная компания, как общество с ограниченной ответственностью или, скажем как некоммерческое объединение, вам не о чем беспокоиться».

Компания VeriSign выдает такие сертификаты с 11 декабря. В настоящее время процедуру сертификации проходят свыше 300 организаций. Около 20 из них уже получили сертификаты.

В получении сертификатов заинтересованы те сайты, которые привлекают к себе внимание мошенников. В разработке стандарта EV SSL принимали участие специалисты компании Wells Fargo & Co., а подразделение Ebay PayPal недавно разместило актуальную информацию о сертификатах EV SSL на своих сайтах history.paypal.com и av.paypal.com.

Впрочем, остаются и вопросы, над которыми еще предстоит работать. Пока неясно, захотят ли платить за сертификацию владельцы небольших сайтов, ни разу еще не пострадавшие от мошенников. Есть и технические трудности, которые предстоит преодолевать разработчикам браузера. К примеру, пока непонятно, каким образом механизмы поддержки EV SSL должны обрабатывать международные наборы символов и как браузер отреагирует, если под одним и тем же названием будут фигурировать две компании из разных стран?

«У нас остается немало открытых вопросов, — отметил руководитель центра разработки стратегии безопасности Mozilla Foundation Уиндоу Снайдер. — Команда разработчиков Firefox, по-видимому, отложит их решение до выпуска версии браузера 3.0, но к этому моменту нам уже нужно будет определиться».