Группа компаний, выпускающих SSL-сертификаты для сайтов с шифрованным соединением (https), планирует в следующем году пересмотреть практику выдачи этих документов, поскольку зачастую они создают у пользователя чувство ложной безопасности и приводят к успеху мошенников.

Самая серьезная проблема значка желтого замка в браузере, обозначающего защищенное соединение, — в невнимательности при выдаче сертификатов. SSL-сертификат включает ключ шифрования, название организации-обладателя и срок годности, подписанные издателем.

Несколько лет назад проверка заявителя на принадлежность к указанной организации начала проводиться «спустя рукава». Некоторые издатели довольствовались лишь фактом существования почтового ящика, откуда пришел запрос. Этим воспользовались фишеры. Впрочем, им необязательно выдавать свой сертификат за реальный: попадая на подставной сайт по защищенному соединению, пользователь видит тот же самый желтый замок. Редко кто догадывается посмотреть подробности сертификата и увидеть, что сертификат выдан совсем другой организации. «Проблема с базовым сертификатом — в низком уровне проверки заказчика, а методы подтверждения в браузерах нелегки для среднего пользователя», — сказал Джим Мелони (Jim Maloney), директор по безопасности компании Corillian, предоставляющей технологии онлайновых платежей более чем 100 банкам.