เวลาเราเข้าเว็บธนาคาร ผู้ใช้มักถูกสอนให้มองหาใบรับรองแบบ EV (Extended Validation) ที่แสดงชื่อบริษัทเอาไว้หน้า URL โดยหน่วยงานใบรับรองจะต้องตรวจสอบชื่อบริษัทหรือหน่วยงานจากเอกสารรับรองของทางการในแต่ละประเทศ Ian Carroll นักวิจัยด้านความปลอดภัยแสดงให้เห็นว่าใบรับรองแบบ EV มีข้อจำกัดสำคัญที่คนสามารถขอใบรับรองที่ชื่อเหมือนกันได้ เพียงแค่ตั้งชื่อบริษัทให้เหมือนกันแต่อยู่คนละรัฐ โดยเขาสามารถขอใบรับรองของบริษัท Stripe บริษัทรับจ่ายเงินที่มีผู้ใช้จำนวนมากในสหรัฐฯ เนื่องจากชื่อบริษัทอาจจะซ้ำกันข้ามประเทศได้ การแสดงใบรับรองแบบ EV จึงมักระบุประเทศเอาไว้ด้วย เช่น โครมก็จะระบุหน้า URL ว่า "Stripe, Inc [US]" เพื่อระบุว่าเป็นบริษัทในสหรัฐฯ แต่ในกรณีของสหรัฐฯ การจดทะเบียนบริษัทคนละรัฐสามารถจดทะเบียนชื่อเดียวกันได้ ทำให้ Ian สามารถขอตั้งบริษัทที่มีชื่อเหมือนบริษัทรับจ่ายเงินได้ กรณีนี้หน่วยงานออกใบรับอรงไม่ได้ทำอะไรผิดเพราะตรวจสอบข้อมูลครบถ้วนแล้ว และข้อมูลในฟิลด์ Subject ของใบรับรองก็ระบุข้อมูลไว้ค่อนข้างครบ CN = stripe.ian.sh OU = POSITIVE EV SSL OU = SSL O = Stripe, Inc STREET = 212 N. 2nd St STREET = STE 100 L = Richmond ST = Kentucky postalCode = 40475 C = US businessCategory = Private Organization jurisdictionStateOrProvinceName = Kentucky jurisdictionCountryName = US serialNumber = 1004132 แต่หน้าจอของเบราว์เซอร์ต่างๆ ไม่ได้เผื่อความเป็นไปได้เช่นนี้ไว้ดีพอ ที่หนักที่สุดคือ Safari ที่เมื่อพบใบรับรอง EV ก็กลับซ่อนตัวโดเมนไปทั้งหมด ทำให้ผู้ใช้อาจจะโดนหลอกได้ง่ายขึ้นไปอีก ขณะที่ข้อกำหนดของ CA/Browser Forum กำหนดให้ CA ต้องตรวจสอบการขอใบรับรองที่มีความเสี่ยงสูงแต่ไม่ได้ระบุไว้ชัดเจนว่าควรทำอย่างไร ก่อนหน้านี้ Gervase Markham จาก Mozilla ก็เคยทดสอบจดทะเบียนบริษัทชื่อว่า "Identity Verified" เพื่อทดสอบการหลอกผู้ใช้ และรายงานประเด็นเดียวกันว่า Safari ไม่แสดงโดเมนเมื่อเจอใบรับรอง EV ทำให้ผู้ใช้ถูกหลอกได้ง่ายขึ้น ที่มา - Stripe.ian.sh Topics: Digital CertificateSecurity