70

    ITCInstitute AntiPhishingWorkingGroup  ISMSIUG    

PRODOTTI E SOLUZIONI DI SICUREZZA
SOLUZIONI DI SICUREZZA E PROTEZIONE
EXTRANET
CHI E' GLOBALTRUST
LAVORO
STAMPA
EVENTI
RISORSE & DOCUMENTAZIONE LEGALE
LEGGI E NORMATIVE
TRAINING E MASTER UNIVERSITARI
CONVENZIONI E ACCORDI
SUPPORTO
DOWNLOAD EVALUATIONS
PARTNERS
NEWS & SECURITY
I NOSTRI CLIENTI
Trust Site Seal Program


Real Privacy Online

CVC E VENGINE

ATTENZIONE – L'identità del sito web NON è verificata

Verification Engine visualizza questo WARNING quando si accede all'interno di un sito il cui certificato SSL NON E' VALIDO e/o non è opportunamente autenticato oppure se il sito web utilizza una sessione httpss con un Basso livello di Assicurazione/Autenticazione.

Warning - Website identity has NOT been verified

 

Ciò significa che il detentore del sito web non è stato validato come appartenente ad un'entità legittima .
Il certificato nel sito web è stato emesso senza tutti i controlli necessari per verificare che l'Ente/Azienda sia una Società esistente e corrente attraverso controlli incrociati (ad esempio Visura Camerale, numero Rea valido, numero telefonico esistente così come stabilito dagli standard di mercato e/o dalle normative relative alla firma digitale ecc.)

Inoltre GlobalTrust con il suo sistema unico di Autenticazione e Validazione Five Star Verification Service  controlla direttamente alla fonte le informazioni relative all'Ente verificato. Sebbene le informazioni scambiate vengano crittografate - non vi è nessuna garanzia sull'identità del sito web e sulla sua reale esistenza come Azienda/Ente poiché non è stato validato.

Chi desidera inviare informazioni sensibili come il numero della carta di credito a un sistema (o un sito web) che utilizzi un certificato con Basso livello di Assicurazione può procedere se ha avuto precedenti contatti con l'Ente ed è sicuro di essere connesso con la pagina web medesimo in caso contrario va avanti a suo rischio e pericolo.

Verification Engine: SSL, tecnologia utilizzata per le Verifiche

Verification Engine
utilizza un motore di Verifica SSL proprietario che permette di determinare quale tipo di Autenticazione/Assicurazione è stata utilizzata per il certificato SSL presente nel sito web che si sta visitando.

Alto livello di Assicurazione

Basso livello di Assicurazione

High Assurance SSL Certificate

Low Assurance SSL Certificate

Alto livello di Assicurazione: il certificato garantisce l' esistenza dell'Azienda/Ente e il suo indirizzo - validazione della proprietà del dominio e dell'Azienda/Ente .

La seguente immagine con VerificationEngine indica un ALTO livello di assicurazione con il certificato utilizzato:

High Assurance

Basso livello di Assicurazione: il certificato garantisce solo il nome del dominio - validazione della sola Proprietà del dominio .

La seguente immagine con VerificationEngine indica un basso livello di assicurazione con il certificato utilizzato:

Low Assurance

Un certificato SSL garantisce di poter effettuare transazioni in sicurezza con una Azienda/Ente perché prima della sua emissione due condizioni Fondamentali sono state espletate:

•  Condizione 1: Verifica che l'ente richiedente possiede, o è legalmente delegato ad usare, il dominio indicato nella richiesta di certificazione.

•  Condizione 2: Verifica che il richiedente è un'entità legittima .
ed il responsabile della stessa sia legittimato ed autorizzato giuridicamente ad agire in nome e per conto della medesima.

I certificati con basso livello di Autenticazione/Assicurazione garantiscono solo di aver assolto il la condizione 1.

I certificati con alto livello di Autenticazione /Assicurazione garantiscono di aver accertato la attinenza del dominio e verifica che il richiedente è, un legale rappresentante dell'Azienda/Ente e che l'Azienda/Ente sia un'entità giuridicamente legittima (condizione 1 e 2).

ATTENZIONE – Esempio di identità di un sito web NON verificata

Un esempio di sito web la cui identità non è verificata è httpss://webmail.mailsicura.it/src/login.php. Di seguito potete osservare le schermate che appaiono all'utente che ha istallato sul proprio Pc il Verification Engine.

High Assurance
Avviso di Internet Explorer

High Assurance
Pop-up Warning di Verification Engine


High Assurance
I dettagli del Certificato SSL

Cliccare sulle immagini per ingrandirle.

Q&A - Question&Answer

Che cos' è il CVC? – Definizione molto semplificata

Che cos' è il CVC? –Definizione semplificata

Che cos' è il CVC? – Definizione dettagliata

Perchè il CVC deve essere usato? (Punto di vista dell' azienda proprietaria di un Sito)

Perchè si dovrebbe dar fiducia al CVC? (Punto di vista dell' utente finale)

Quanto costa un CVC?

Perchè deve essere installato GlobalTrustVerificationEngine™?

Perchè il mio browser non visualizza correttamente le immagini e I loghi ritenuti attendibili?

I CVC sono visibili utilizzando Internet Explorer come browser e GlobalTrustVEngine?

Come posso visualizzare il contenuto del CVC?

Che cos' è il CVC – Definizione molto semplificata

È un certificato che contiene immagini o testo. Contiene inoltre i dettagli della pagina Web su cui viene usato e quindi non può essere copiato/spostato su un' altra pagina web. Per questo motivo il CVC rappresenta un aiuto forte per combattere gli attacchi phishing e Web spoofing.

Che cos' è il CVC –Definizione semplificata

Il CVC (Content Verification Certificate) contiene le informazioni presenti su una pagina Web all' interno di un certificato digitale. È possibile visualizzarne il contenuto utilizzando qualsiasi Internet browser compatibile. Il vantaggio di un CVC è dato dal fatto che il contenuto è protetto ed è visibile solo sulla pagina web dove è applicato. Consente, quindi, di verificare facilmente la legittimità di un sito Web.

Che cos' è il CVC – Definizione dettagliata

Il CVC (Content Verification Certificate) è riconosciuto internazionalmente come tipologia di certificato X509 in grado di contenere e proteggere le informazioni presenti su una pagina Web. Tutte le informazioni possono essere visualizzate utilizzando qualsiasi Internet browser abilitato con i plug-in di GlobalTrustVerificationEngine .

I plug-in di GlobalTrustVerificationEngine controllano i contenuti delle pagine Web e caricano le informazioni del certificato associato alle pagine, all' interno della finestra del browser utilizzato.

Finchè il dominio è corretto e il CVC è valido, le informazioni associate vengono correttamente visualizzate e l' utente finale è in grado di verificare facilmente la legittimità di un sito mandando in esecuzione GlobalTrustVerificationEngine.

Perchè il CVC deve essere usato? (Punto di vista dell' azienda proprietaria di un Sito)

Internet negli ultimi mesi è diventato molto più pericoloso per gli utenti, a causa di svariati attacchi che utilizzano il Web per lanciarsi e diffondersi nell'intera rete di computer esistenti. Alcuni nuovi exploit che in particolare sfruttano le vulnerabilità dei browser Web, compresi gli attacchi avvenuti a cavallo tra giugno e luglio 2004, evidenziano le sofisticate tecniche che gli hacker hanno sviluppato per prendersi gioco o falsificare i siti Web e come i codici maligni riescano con facilità a sottrarre nomi utente, password e altre informazioni importanti (phishing). Gli hacker sfruttano le vulnerabilità dei browser Web per introdurre contenuti fasulli, come ad esempio dei moduli falsi per l'inserimento dei dati della propria carta di credito, sfruttando i frame di un sito sicuro. Gli utenti visitano quello che ritengono essere un sito sicuro, come una banca online o un sito di e-commerce e, mentre apparentemente il sito che visitano sembra essere attendibile, si tratta in realtà di una contraffazione, rendendo così gli utenti vulnerabili agli hacker che operano ‘dietro le quinte'.

Applicando il CVC ad una o più pagine di un sito Web, si da la possibilità:

- all' azienda proprietaria del sito, di proteggere i contenuti delle pagine Web

- all' utente finale, di verificare velocemente la legittimità del sito visitando, utilizzando GlobalTrustVerificationEngine

riducendo così a zero le possibilità di attacchi sottoforma di phishing.

Perchè si dovrebbe dar fiducia al CVC? (Punto di vista dell' utente finale)

Prima di rilasciare ad un' azienda un CVC, la GlobalTrust effettua un complesso processo di autenticazione e validazione dell' azienda, del dominio associato, e convalida dei contenuti memorizzati sul CVC.

Quanto costa un CVC?

Il sistema cvc può essere venduto sia per singoli siti Web, che in un complesso sistema di soluzioni e servizi di sicurezza denominati SAFE.

La valutazione viene quindi effettuata a progetto. Per maggiori informazioni clicca qui .

Perchè deve essere installato GlobalTrustVerificationEngine™?

Per informazioni su GlobaltrustVerificationEngine clicca qui .

Perchè il mio browser non visualizza correttamente le immagini e I loghi ritenuti attendibili?

Se hai già installato Globaltrust Verification Engine, vai sul sito web www.contentverification.it e verifica che i loghi e le immagini del sito (sono attendibili) siano riconosciute come tali.

Se ciò non fosse, due possono essere le cause:

- è necessario modificare le dimensioni della finestra del browser per visualizzare completamente le immagini e i loghi presenti nel sito.

- il CVC è scaduto o è stato revocato. In questo caso l' azienda proprietaria del sito ha la responsabilità di richiedere un nuovo CVC.

I CVC sono visibili utilizzando Internet Explorer come browser e GlobalTrustVEngine?

GlobalTrustVerificatioEngine funziona correttamente con i seguenti browser:

- Internet Explorer 5.01 e superiore

- Firefox 1.0.7 e superiore

- AOL 1.1 e superiore

- Netscape 8+ (FF mode)

- Netscape 8+ (IE mode)

- Mozilla 1.7 e superiore.

Come posso visualizzare il contenuto del CVC?

Cliccando di destro col mouse sul CVC e selezionando “ Visualizza Certificato/View Certificate ”. In questo modo è possibile vedere in dettaglio il contenuto del certificato.