電子商取引の隠された危険性と正しいSSL証明書

インターネット上でビジネスを行うために、消費者と企業はクレジットカード番号、パスワード、その他の個人情報を交換する信頼できる方法を必要としています。 Cloud4Yでは、一部のメーカーからSSL証明書を提供しているため、証明書の種類、その利点、および落とし穴に関する少しの助けと興味深い事実を提供することにしました。

SSLは、ほとんどのインターネットを保護し、基本的にeコマースを可能にする技術です。 ユーザーは、ブラウザのロック記号でそれを識別できます。つまり、受信者に送信されるすべてのデータは、誰も解読できないように暗号化されます。 1つの落とし穴があります。暗号化は、受信者が詐欺師ではなく、それらを解読できるトラスティであるとデータを送信する場合にのみ有用です。

SSL証明書：トランザクションセキュリティ

暗号化を有効にするために、Webサイトは認証機関（たとえば、Symantec）によって発行されたデジタル証明書を使用します。 証明機関はビジネスの信頼性をチェックしないことに注意してください;その役割は、ビジネスが存在することを確認し、資格情報（デジタル証明書）を発行することです。

SSL証明書には現在、ドメイン検証済み（DV）、組織検証済み（OV）、および拡張検証証明書（EV）の3種類があります。

少し前までは、OVタイプの証明書しか利用できませんでした。 このタイプの証明書を使用すると、認証局は特定のビジネス情報がドメイン名に適合していることを確認できるため、申請者が本人であることを確認できます。 たとえば、 www.amazon.comの証明書を取得するには、Amazonが特定の情報をサーバーから認証局に送信し、それが実際の会社であることを確認する必要があります。

その後、 2000年代にDVタイプの証明書が登場しました。 そのような証明書は、申請者がドメイン名を使用する権利を確認することのみを要求し、他のビジネス情報の確認は必要としないため、できるだけ早く与えられました。 たとえば、ドメインwww.myfav®ritestore.comを購入した場合、証明機関に要求して、それからの電子メールに応答するだけで、DVタイプの証明書を取得できます。 証明機関が応答を受け取るとすぐに証明書が発行され、 オンラインストア MyFavoriteStore.comをすぐに作成してクレジットカードの受け入れを開始できました。 明らかに、ビジネスの合法性の確認はなく、このオンラインストアが詐欺師によって所有されていないことを保証することはできません。

次の図では、amazon.comでこれら2種類の証明書を使用する場合のブラウザーウィンドウの外観を比較できます。

図からわかるように、DVタイプの証明書は、ドメイン名（carbon2cobalt.com）以外の情報を提供しません。 このビジネスの出所や所有者に関する情報はありません。 amazon.comのタイプOV証明書の証明書には、会社の名前と場所の両方が表示されます。 ブラウザウィンドウでは、証明書は同じように見えます。

SSL拡張タイプ

次に表示される証明書のタイプは、拡張検証（EV）証明書です。 この場合、CAは拡張申請者レビューを実行して、ビジネスの信頼レベルを高めます。 以下は、高度な検証証明書の例です。

この例では、証明書（およびサイト）がイリノイ州シカゴのバンクオブアメリカに所有されていることは明らかです。 この情報は、検証プロセスの一環として認証機関によって確認されました。これには、企業文書の調査、申請者の身元の検証、認証機関のデータベースに関する情報の検証が含まれます。

すべてのブラウザで、この証明書を使用すると、視覚的なインジケータが点灯します。通常、アドレスバーに緑色のロックがあります。 これにより、Webサイトのデータが慎重にチェックされていることが消費者に明らかになります。 すべてのブラウザーでは、URLの左側または右側に組織名が表示されます。 下の図は、EV証明書が一般的なブラウザーでどのように表示されるかを示しています。 拡張検証により、EV証明書の取得がより困難になります。

EV認定は、ビジネスの正当性を確立し、フィッシング、マルウェア、その他のオンライン詐欺の問題を解決するために使用できるツールを提供するのに役立ちます。 EV証明書には次の利点があります。

1.フィッシングなどのオンライン詐欺を困難にします。

2.フィッシングやオンライン詐欺の標的となる可能性のある企業が、ユーザーの目に自分自身をよりよく識別するためのツールを提供することにより、企業を支援します。

3.フィッシングやその他の種類のオンライン詐欺の調査において法執行機関を支援します 。

基本的な証明書が悪いのはなぜですか？

簡単です。既に確認した例のMyFavoriteStore.com Webサイトは、実際のビジネスではありません。 これはフィッシングサイトです。 これはどうですか？

1.詐欺師は、偽の情報と盗まれたクレジットカード情報を使用して、ドメインレジストラからドメインを購入します。 レジストラは、ドメインmyfavoritestore.comを詐欺師として作成します。

2.ドメインに対する権利を取得した詐欺師は、基本レベルの証明書を認証機関に申請します（ドメイン確認）。 証明機関は、申請者の電子メールによる応答のみを要求し、それを受信すると証明書を発行します。

3.詐欺師は、人気商品を宣伝するWebページを作成し、クレジットカードのデータ入力ページを作成します。

4.バイヤーは、メーリングリストと虚偽の広告を通じてサイトに引き付けられます。

5.消費者がブラウザの行にロックを確認すると、クレジットカード情報を静かに入力して購入します。

6.詐欺師はクレジットカード情報を盗み、消費者はお金を失い、商品を受け取りません。 SSL証明書を表示すると、ドメイン名以外は何も見つかりません。 確認済みの住所やその他の情報はありません。

シマンテックの最近の調査では、すべての電子商取引会社の1/3以上がDV証明書を使用してサイトを保護していることがわかりました。 このような証明書を取得するのが比較的簡単で、速度が速く、低コストであることを考えると、これは驚くことではありません。 すべての認証局は基本的な詐欺テストを実行する必要がありますが、詐欺師はこれらのチェックを回避する方法を簡単に適用できます。 たとえば、PayPalという名前は詐欺の一般的な対象であるため、認証局はpay-pal 、securepaypal、p @palなどの類似の名前の自動チェックを実行します。 .comは、フィッシング攻撃とユーザー資格情報の盗用に使用されました。 このサイト名でOVやEVなどの証明書を取得することは、詐欺師にとってはるかに困難です。

以下の2つの証明書を比較してください。 左側がbookairfare.comの証明書、右側がebookers.comです。 検索エンジンを介して格安便を探している消費者は、これらの両方のサイトに誘導できますが、ビジネスが検証されたことをどのように理解できますか？ 左側の証明書を調べた後、ユーザーにはビジネス情報が表示されません。つまり、ユーザーの前にはタイプDVの証明書があります。 右側の証明書には、左側とは異なり、検証済みのビジネスデータが含まれています 。

犯罪者は多くの場合、身元と詐欺を盗むために偽のWebサイトを作成します。 サイトに正当性を追加するには、詳細なグラフィックを追加して実際のサイトをシミュレートし、ユーザーに視覚的なセキュリティインジケーターを提供するSSL証明書を取得します。 前述のように、ドメイン検証証明書は比較的簡単に取得できます。 以下の画像は、メール内のリンクを介したフィッシングの例を示しています。

このサイトには魅力的なWebページがあり、セキュリティアイコンが表示されます。

ただし、検証により、タイプDVの証明書があることがわかります。

結論の代わりに

彼らが言うように、インターネット上であなたが誰であるかを正確に知る人はいません：



ただし、過去数年にわたって、インターネット上の顧客はより多くの経験を積むようになり、セキュリティの問題により注意を払うようになりました。 多くのユーザーがそのような証明書を持つサイトを信頼しなくなり、信頼できる企業にのみ個人データを提供することを好むため、基本的な証明書は徐々にバックグラウンドに消えつつあります。