拿到標著 Stripe, Inc. 的 EV Certificate

在「Nope, this isn’t the HTTPS-validated Stripe website you think it is」這邊看到利用一家同名的公司取得相同的 EV Certificate 的方法:

這個不是你想像中的 Stripe 網站在 https://stripe.ian.sh/ 這邊。這在 Safari 上攻擊的效果特別好,因為不會顯示出 hostname:

不過 EV Certificate 當初設計的目的本來就是墊高 phishing 的成本,並不是完全阻止... 這應該暫時不會解吧 :o