Частный системный администратор

NewTLD и SSL-сертификаты с проверкой домена — угроза безопасности

Еще несколько лет назад мировая система доменов верхнего уровня (TLD) была очень простой: несколько международных доменов (.com, .net, .org), сохранившихся с тех времён, когда интернет был чисто американской сетью, американских (.gov, .mil., .edu), регистрация доменов в которых была доступна только американским организациям, и национальных доменов, соответствующих двухбуквенным ISO-кодам государств. Потом появились ещё несколько TLD общего пользования (gTLG) — .biz, .info, .name, .aero, .travel, причём регистрация в .aero и .travel доступна только организациям, официально работающим в соответствующих отраслях. Чуть позже (с 2005 года) появились национальные домены с использованием нелатинских алфавитов.  Положение в корне изменилось в 2011 году, когда ICANN в корен пересмотрела политику регистрации новых доменов верхнего уровня, фактически сняв все ограничения, что сделало возможной регистрацию новых доменов верхнего уровня любым организациям и с любой тематикой. Сейчас количество новых TLD уже превысило 100 и продолжает неуклонно расти. Свои домены верхнего уровня появились у отраслей человеческих занятий,  у городов и даже у крупных компаний. Положительной стороны этого я касаться не буду, она очевидна: появилась возможность регистрации доменов с более адекватными и удобными именами. Но есть и отрицательная сторона, едва ли не перевешивающая положительную.  В доменных именах началась неразбериха.  Появилась возможность и зарегистрировать домен второго уровня, совпадающий с существующим доменом, например, финансовой организации или крупной компании, а многочисленность регистратур и часто весьма либеральные правила регистрации делают судебное решение таких проблем весьма длительным и трудоёмким.  Естественно, этим не замедлили воспользоваться различные интернет-мошенники.  Уже известно множество случаев, когда для фишинга использовались такие домены. Уберечься от потерь можно единственным способом — крайне осторожным подходом к доменам в новых TLD, особенно, если речь идёт о передаче персональной или платёжной информации. Например, сайт банка или его отделения может находиться в национальном домене по месту размещения, в доменах .com или .biz, но трудно себе представить, чтобы банк разместил свой сайт в домене .vodka или .photo. При возникновении сомнений лучше позвонить в банк по телефону, указанному в бумажном договоре или на банковской карте или проверить информацию на сайте, указанном там же.

Другая опасность подстерегает при невнимательном отношении к сертификатам ssl. Сейчас все знают, что http — небезопасно, а https — безопасно, но далеко не все знают, от каких опасностей какой сертификат защищает. Прежде всего надо понимать, что от вредонсоного кода никакой сертификат защитить не может: сайт, работающий только по https, взламывается ничуть не сложнее, чем работающий по http, это надо понимать и владельцу, и посетителю сайта. Протокол https имеет ровно две функции: шифрование трафика и проверка подлинности узла. Сертификаты бывают с проверкой только домена, с проверкой организации и с расширенной проверкой организации. Сертификат с проверкой домена по уровню защиты почти не отличается от самоподписного: он обеспечивает шифрование трафика между сайтом и посетителем и более — ничего. При удостоверении такого сертификата удостоверяющий центр проверяет только способность заявителя управлять доменом и более — ничего. А зарегистрировать домен с нужным мошенникам именем не составляет труда. Но если на сайте установлен самоподписной сертификат — любой браузер выдаст предупреждение об этом, а если сертификат с проверкой домена — никаких предупреждений не будет, соединение будет считаться безопасным, чем также активно пользуются мошенники. Чтобы не попасться на их удочку, надо обязательно проверять сертификат и ни в коем случае не делать никаких онлайн-платежей, если окажется, что сертификат с проверкой домена. Проверить сертификат очень просто: кликните по знаку замочка в адресной строке, дальше выберите просмотр сетрификата, и если увидите что-то подобное: Organization (O) <Not Part Of Certificate> — значит, сертификат с проверкой домена, такой стоит, например, на этом сайте. Для онлайн-платежей и передачи критичной информации такой сертификат недостаточен.

Посмотрим на этот вопрос с другой стороны. Если Вы — владелец сайта, то Вам небезразлично доверие посетителей.  Если на Вашем сайте не производятся онлайн-оплаты и не передаются критичные данные, такие, как данные паспорта, то о доверии можно особо и не думать. Иначе же лучше позаботиться заранее о солидности сайта. Для этого домен лучше выбирать в национальном домене верхнего уровня (для России это ru, рф и  исключительно зарезервированный su) или в одном из старых доменов общего пользования (com, net, org, biz, info).  Даже если Вы не проводите платёжные операции непосредственно на сайте, а выполняете переадресацию на сайт эквайринговой системы, всё равно необходим сертификат с проверкой организации, причём наименование юридического лица, указанное в поле Organization, должно совпадать с наименованием, указанным на сайте. Это — не требование закона, но без этого Вы рискуете потерять часть клиентов, и чем больше размер платежей, тем более значительную.