זמן קריאה: 2 דקות
בעת קבלת אישור SSL, רשות האישורים (CA) מבצעת אימות של זהות הארגונים המבקשים שישתנה בהתאם לרמת האימות שאותו אישור דורש. בעוד ש- CA מציעים אותן רמות של אימות, יש הבדל במתודולוגיות האימות שלהן.
מהם ההבדלים העיקריים באימות של ספקי SSL?
אימות יכול להתבצע באחת משתי דרכים: באופן ידני או אוטומטי.
באופן מסורתי אימות ידני (כפי שמשתמשים ב- VeriSign, Thawte, Entrust) היה מסורבל, זמן רב ויקר עבור ספק ה- SSL ולכן הרוכש. אימות אוטומטי (כפי שמשתמשים ב- GeoTrust ו- GoDaddy) מהיר וחסכוני יותר, אך אינו מספק את רמת הביטחון הצפויים על ידי צרכנים המסתמכים על SSL - למשל אישורי ה- SSL המהירים של GeoTrust מאמתים רק את זכותו של המבקש להשתמש בשם דומיין ו לא הלגיטימיות של החברה עצמה.
קומודו, בשימוש ב- IdAuthority, חידשה את השיטה לביצוע אימות High Assurance (הן בעלות על שם תחום והן לגיטימציה לחברה), מה שמביא לספקי תעודות SSL בעלי ביטחון גבוה בהרבה. זה מבטיח תהליך הנפקה מהיר מבלי לפגוע ברמת הביטחון של אישור ה- SSL.
האם באמת משנה אימות חזק?
אימות הוא חיוני!
הוא מספק את תשתית האמון הבסיסית שהצרכנים החלו להשיב עליה. ראשית יש לראות במבקש זכות לגיטימית לשימוש בשם דומיין, ושנית על המבקש להיות ישות חוקית חוקית. כל ספקי האבטחה הגבוהים יבצעו תהליך אימות דו שלבי, כאשר ספקי אבטחה נמוכה כמו GeoTrust ו- GoDaddy יבצעו רק בדיקת בעלות על שם דומיין.
היעדר האימות שביצעו כמה מספקי SSL עורר חשש בכל הענף כך שאופרה עם שחרורם של 8 ומיקרוסופט עם Internet Explorer 7 מציעה לצרכנים אפשרות להציג פרטים משופרים על האישור. כפי שסוכם בדו"ח גרטנר "שכבת שקעים מאובטחת לפעמים אינה" ספקי ביטחון נמוך עשויים להיות אחראים לחוסר האמון ב SSL על ידי הצרכנים. מכיוון שצרכנים לומדים ממקורות גבוהים כי אישורי SSL של GeoTrust ו- GoDaddy אינם אומרים בהכרח שהם מתמודדים עם ישות משפטית מאומתת, האמון בתעודות GeoTrust יפחת. אתרים שרוכשים מ- GeoTrust ו- GoDaddy עשויים למצוא את אלה SSL אישורים אינם מספקים ללקוחות את רמת האמון שהם מצפים ודורשים.
