Extended Validation (EV) SSL-certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken, aangezien de eigenaar extra is gecontroleerd, maar onderzoeker Ian Carroll heeft een probleem met dergelijke certificaten aangetoond.
Bij EV SSL-certificaten wordt de naam van de entiteit die het certificaat aanvroeg in de adresbalk van de browser weergegeven. Voordat het certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale SSL-certificaten het geval is. EV SSL-certificaten zijn dan ook duurder dan normale SSL-certificaten en worden anders door de browser weergegeven. Ondanks de uitgebreidere controle wist Carroll een EV SSL-certificaat voor "Stripe, Inc" te bemachtigen. Stripe is een Amerikaanse online betalingsverwerker die in 25 landen actief is, waaronder Nederland. Stripe Inc is geregistreerd in Delaware. Carroll registreerde een juridische entiteit met de naam Stripe Inc in Kentucky en wist voor dit "bedrijf" een EV SSL-certificaat aan te vragen.
Normale SSL-certificaten zijn binnen de browser via een groen slot-icoon te herkennen. Bij EV SSL-certificaten hangt dit deels af van de browser, maar is in ieder geval de naam van de entiteit in kwestie te zien. Safari laat bij de website van Carroll alleen de naam "Stripe Inc" zien, zonder de domeinnaam te tonen. Zowel Chrome als Firefox tonen naast de naam ook het land van de entiteit, alsmede het domein. Via twee muisklikken kunnen Firefox-gebruikers daarnaast de stad en staat van de entiteit zien. Als gebruikers dit al controleren is het nog steeds zinloos, aangezien gebruikers in dit geval moeten weten waar het bedrijf in kwestie zijn hoofdkantoor heeft gevestigd, merkt Carroll op.
De onderzoeker stelt dat het voor een aanvaller zeer praktisch kan zijn om een EV SSL-certificaat registreren. Carroll was in totaal minder dan een uur en 177 dollar kwijt. Honderd dollar voor het registreren van zijn bedrijf en 77 dollar voor het certificaat. Voorstanders van EV SSL-certificaten stellen dat de aanvraag een groot papierspoor achterlaat, maar dat blijkt in de praktijk erg tegen te vallen, aldus Carroll. Zo vindt er nauwelijks identiteitsverificatie plaats. Een kwaadwillende zou zich zo als een bepaald bedrijf of andere entiteit kunnen voordoen en een EV SSL-certificaat kunnen bemachtigen, om dat vervolgens bij phishingaanvallen in te zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.