di Percy Cabello
Verisign, il principale emittente di certificati digitali al mondo, ha pubblicato qualche tempo fa l'estensione Verisign EV Green Bar, uno strumento per Firefox per l'identificazione dei siti web che hanno certificati di Extended Validation. Un certificato digitale è un documento univoco che un sito web presenta al browser dell'utente come prova della propria identità per iniziare una connessione sicura (SSL o TSL).
I certificati di Extended Validation sono emessi seguendo un processo più ampio di verifica dell'identità, come definito dalle linee guida del CA/Browser Forum, tra le quali:
L'estensione si occupa solamente di rendere più chiaro il fatto che un sito web dispone di un certificato EV: la barra degli indirizzi diventa verde e viene aggiunto il nome legale dell'azienda, su cui è possibile cliccare per avere maggiori dettagli sul certificato.
- Stabilire l'identità legale nonché la presenza fisica e operativa del proprietario del sito web;
- Stabilire che il proprietario del sito web abbia il controllo esclusivo sull'URL; e
- Confermare che l'identità e l'autorità degli individui che agiscono come proprietari del sito web e che i documenti pertinenti gli obblighi legali siano firmati da un ufficiale autorizzato.
Mozilla fa parte del CA/Browser Forum e, tra le altre alternative per accrescere la consapevolezza degli utenti sulla legittimità di un sito web per impedire episodi di phishing, sta considerando un simile comportamento tra le altre migliorie da apportare alla barra degli indirizzi.
Anche se tutto questo può sembrare bellissimo, i costi più alti ($995 all'anno per un certificato normale contro i $1495 annui presso Verisign) dei certificati e l'esclusione di certi tipi di aziende stando alle linee guida, potrebbero rappresentare uno svantaggio per le piccole aziende se i certificati EV (la barra verde) divenissero sinonimo di attendibilità online. Inoltre, alcuni studi basati sull'implementazione di notifica dei certificati EV di Internet Explorer 7 (che è quasi identica all'estensione di Verisign) hanno dimostrato non è così efficace nell'impedire attacchi di phishing come si pensava.
Nessun commento:
Posta un commento