В новых версиях Chrome 77 и Firefox 70 (выйдет 22 октября) EV-сертификаты с расширенной проверкой лишились своего привычного места в адресной строке. Теперь они на первый взгляд не отличаются от обычных DV-сертификатов, которые валидируют домен. Дополнительная информация о компании раскрывается только по нажатию пиктограммы с замочком, но не в адресной строке.
Так выглядит информация о сертификате EV SSL в Firefox 70
Критики индустрии рады, что «торговля воздухом» прекратится. Но сами регистраторы считают, что EV SSL рано хоронить.
Сертификат c расширенной проверкой (Extended Validation, EV) — тип сертификата HTTPS, в котором центр сертификации проводит дополнительную проверку владельца домена, привязывая домен к юридическому лицу. Сама процедура может занимать до двух недель. Аналогично банковским стандартам Know Your Client проверяются адрес и телефон компании. Эта информация затем внедряется в сертификат и заверяется цифровой подписью центра сертификации.
Обычные DV-сертификаты просто подтверждают, что владелец контролирует домен, указанный в сертификате. При этом центр сертификации не имеет понятия, кто является владельцем домена и не имеет возможности с ним связаться:
Это фактически анонимные сертификаты, полезные только для шифрования трафика по HTTPS. Они никак не указывают на безопасность сайта: кто угодно может получить такой сертификат через автоматизированную процедуру.
Раньше большинство браузеров отображали название юридического лица и юрисдикцию прямо в адресной строке, рядом с URL, как показано на иллюстрации ниже.
Прежний UI для отображения сертификатов EV в браузерах Firefox, Safari и Chrome
Первым от этой практики отказался Safari. Он перестал отображать название юридического лица, а при наличии EV-сертификата домен просто окрашивается в зелёный цвет. Затем изменился интерфейс Chrome.
Chrome 76
Chrome 77
22 октября 2019 года планируется финальная версия Firefox 70 с таким же изменением.
Firefox 69
Firefox 70
Нужно заметить, что методические рекомендации Форума CA/Browser для EV (раздел 2) конкретно указывают, что основная цель сертификатов EV — информирование пользователей о юридической идентификации бизнеса, с которым они взаимодействуют через веб-сайт. Вторичная цель — борьба с фишингом и другими вредоносными видами веб-активности.
Главная причина — желание разработчиков оптимизировать интерфейс браузера, поскольку длинная адресная строка не помещается на экраны мобильных устройств. Однако они не могли жертвовать безопасностью ради удобства. Компания Google инициировала специальное исследование, на основании которого сделала вывод, что отказ от EV всё-таки не снижает безопасность. Это исследование зажгло зелёный свет перед изменением UI, которого требовали разработчики интерфейсов для удобства пользователей.
Речь об исследовании, проведённом специалистами по дизайну интерфейсов и безопасности Google (группа Chrome Security UX). Они пришли к выводу, что «EV UI не обеспечивает защиту пользователей должным образом».
Google отмечает, что «значок EV занимает ценное пространство экрана, может показывать поддельные названия компаний в пользовательском интерфейсе и мешает Chrome двигаться к нейтральной, а не положительной индикации защищённых соединений». По логике специалистов Chrome Security UX, строка с EV-сертификатом — это положительная индикация TLS, в то время как более действенной с точки зрения воздействия на пользователей является нейтральная индикация. Поэтому в перспективе сайты с HTTPS будут лишены пиктограммы «замочка», а для сайтов без HTTPS будет отображаться предупреждение безопасности. Это подтолкнёт все сайты к установке SSL-сертификатов.
В исследовании Google отмечаются слабости сертификатов EV:
Совет безопасности CA считает ошибкой решение убрать EV из адресной строки. Организация, которая объединяет ряд ведущих центров сертификации, приводит такие доводы:
1. Только сертификат EV может подтвердить принадлежность сайта определённой компании. Невозможно обеспечить защиту конфиденциальных данных пользователя, если мы не знаем, какая компания владеет доменом.
2. Защита от фишинга. Исследования показывают, что злоумышленники активно пользуются сертификатами DV, заказывая их тысячами бесплатно через автоматизированную анонимную процедуру.
В результате фишинг массово перешёл на DV-сертификаты. ФБР уже выдало предупреждение, что пользователям не следует доверять пиктограмме замочка HTTPS или зелёному индикатору в браузере, поскольку половина фишинговых сайтов демонстрирует такой индикатор.
В то же время получить сертификат EV мошенникам затруднительно.
Вот результаты исследования 3494 фишинговых сайтов с SSL-сертификатами в феврале 2019 года:
Антифишинговые фильтры браузеров не справляются с угрозой. Исследование NSS Labs от октября 2018 года показало, что Google Safe Browsing со старта распознаёт только 79% фишинговых сайтов. Этот процент возрастает до 95% через двое суток, но к этому времени большинство таких сайтов прекращают работу, выполнив свою задачу.
3. Совет безопасности CA считает ошибкой тезис Google о том, что можно отказаться от индикатора EV на том основании, что пользователи не воспринимают его как положительный индикатор безопасности. Во-первых, более квалифицированные пользователи всё-таки знают разницу в типах сертификатов. Во-вторых, стоило бы предпринять усилия по информированию менее квалифицированных пользователей, которые не понимают отличия DV и EV. В-третьих, восприятие пользователя зависит от контекста: такие простые меры, как ремень безопасности в автомобиле, люди не замечают в обычных комфортных условиях, но это не повод отказываться от ремней безопасности.
4. Недостаточно полагаться только на URL для распознавания фишинга. Даже в исследовании Google отмечается, что пользователи испытывают затруднения, анализируя URL, и часто не замечают в нём ошибки и опечатки на фишинговых сайтах. В то же время индикатор EV не требует анализа URL.
Совет безопасности CA считает, что недостатки нынешних сертификатов EV — это повод поработать над их улучшением, а не причина для отказа. Статистика показывает, что сертификат EV лучше всего отсеивает фишинговые сайты. Чтобы эффективно его использовать, браузерам следует договориться о стандартной индикации, считает Совет безопасности, опять приводя аналогию из автомобильного мира: если знак «Стоп» отличается от страны к стране и от штата к штату, а водители не понимают его значения, то это не повод убирать со всех дорог знаки «Стоп», потому что они неэффективны.
Несмотря на визуальные изменения в браузерах, EV остаётся надёжным индикатором безопасности. Он по-прежнему подтверждает валидность юридического лица, просто теперь эта информация переместилась в другое место. Пользователям придётся щёлкнуть по пиктограмме с замочком, чтобы увидеть эти сведения.
Так что слухи о смерти EV-сертификатов оказались преждевременными. Есть вероятность, что специалисты по безопасности и дизайнеры разберутся в вопросе и скорректируют интерфейсы. Сейчас этот вопрос обсуждается с разработчиками браузеров.
Так выглядит информация о сертификате EV SSL в Firefox 70
Критики индустрии рады, что «торговля воздухом» прекратится. Но сами регистраторы считают, что EV SSL рано хоронить.
Сертификаты с расширенной проверкой
Сертификат c расширенной проверкой (Extended Validation, EV) — тип сертификата HTTPS, в котором центр сертификации проводит дополнительную проверку владельца домена, привязывая домен к юридическому лицу. Сама процедура может занимать до двух недель. Аналогично банковским стандартам Know Your Client проверяются адрес и телефон компании. Эта информация затем внедряется в сертификат и заверяется цифровой подписью центра сертификации.
CN = www.bankofamerica.com SERIALNUMBER = 2927442 2.5.4.15 = Private Organization O = Bank of America Corporation 1.3.6.1.4.1.311.60.2.1.2 = Delaware 1.3.6.1.4.1.311.60.2.1.3 = US L = Chicago S = Illinois C = US
Обычные DV-сертификаты просто подтверждают, что владелец контролирует домен, указанный в сертификате. При этом центр сертификации не имеет понятия, кто является владельцем домена и не имеет возможности с ним связаться:
CN = whoami.com
Это фактически анонимные сертификаты, полезные только для шифрования трафика по HTTPS. Они никак не указывают на безопасность сайта: кто угодно может получить такой сертификат через автоматизированную процедуру.
Раньше большинство браузеров отображали название юридического лица и юрисдикцию прямо в адресной строке, рядом с URL, как показано на иллюстрации ниже.
Прежний UI для отображения сертификатов EV в браузерах Firefox, Safari и Chrome
Первым от этой практики отказался Safari. Он перестал отображать название юридического лица, а при наличии EV-сертификата домен просто окрашивается в зелёный цвет. Затем изменился интерфейс Chrome.
Chrome 76
Chrome 77
22 октября 2019 года планируется финальная версия Firefox 70 с таким же изменением.
Firefox 69
Firefox 70
Нужно заметить, что методические рекомендации Форума CA/Browser для EV (раздел 2) конкретно указывают, что основная цель сертификатов EV — информирование пользователей о юридической идентификации бизнеса, с которым они взаимодействуют через веб-сайт. Вторичная цель — борьба с фишингом и другими вредоносными видами веб-активности.
Почему браузеры убрали индикатор EV SSL
Главная причина — желание разработчиков оптимизировать интерфейс браузера, поскольку длинная адресная строка не помещается на экраны мобильных устройств. Однако они не могли жертвовать безопасностью ради удобства. Компания Google инициировала специальное исследование, на основании которого сделала вывод, что отказ от EV всё-таки не снижает безопасность. Это исследование зажгло зелёный свет перед изменением UI, которого требовали разработчики интерфейсов для удобства пользователей.
Речь об исследовании, проведённом специалистами по дизайну интерфейсов и безопасности Google (группа Chrome Security UX). Они пришли к выводу, что «EV UI не обеспечивает защиту пользователей должным образом».
Google отмечает, что «значок EV занимает ценное пространство экрана, может показывать поддельные названия компаний в пользовательском интерфейсе и мешает Chrome двигаться к нейтральной, а не положительной индикации защищённых соединений». По логике специалистов Chrome Security UX, строка с EV-сертификатом — это положительная индикация TLS, в то время как более действенной с точки зрения воздействия на пользователей является нейтральная индикация. Поэтому в перспективе сайты с HTTPS будут лишены пиктограммы «замочка», а для сайтов без HTTPS будет отображаться предупреждение безопасности. Это подтолкнёт все сайты к установке SSL-сертификатов.
В исследовании Google отмечаются слабости сертификатов EV:
- EV не гарантируют, что прошедшая проверку компания не нарушает закон, ведёт честный бизнес, что она действительно безопасна и заслуживает доверия.
- EV плохо защищают от фишинга, потому что пользователи не всматриваются в них. В частности, они не обращают внимание на код страны для компании, на которую зарегистрирован EV-сертификат, что можно использовать для мошенничества.
Тепловая карта распределения внимания пользователей Chrome при демонстрации EV-сертификатов с разными юрисдикциями, из исследования группы Chrome Security UX
- Злоумышленники могут получить EV-сертификат на компанию с похожим названием.
- Юридическое название фирмы иногда вводит в заблуждение, не совпадая с названием сайта. Например, у сервиса для ведения персональных финансов mint.com сертификат EV выдан на юрлицо Intuit Inc.
Что даёт расширенная проверка
Совет безопасности CA считает ошибкой решение убрать EV из адресной строки. Организация, которая объединяет ряд ведущих центров сертификации, приводит такие доводы:
1. Только сертификат EV может подтвердить принадлежность сайта определённой компании. Невозможно обеспечить защиту конфиденциальных данных пользователя, если мы не знаем, какая компания владеет доменом.
2. Защита от фишинга. Исследования показывают, что злоумышленники активно пользуются сертификатами DV, заказывая их тысячами бесплатно через автоматизированную анонимную процедуру.
В результате фишинг массово перешёл на DV-сертификаты. ФБР уже выдало предупреждение, что пользователям не следует доверять пиктограмме замочка HTTPS или зелёному индикатору в браузере, поскольку половина фишинговых сайтов демонстрирует такой индикатор.
В то же время получить сертификат EV мошенникам затруднительно.
Вот результаты исследования 3494 фишинговых сайтов с SSL-сертификатами в феврале 2019 года:
- EV: 0 фишинговых сайтов (0%)
- OV: 145 фишинговых сайтов (4,15%), в основном, это мультидоменные сертификаты multi-SAN от CDN вроде Cloudflare
- DV: 3349 фишинговых сайтов (95,85%)
Антифишинговые фильтры браузеров не справляются с угрозой. Исследование NSS Labs от октября 2018 года показало, что Google Safe Browsing со старта распознаёт только 79% фишинговых сайтов. Этот процент возрастает до 95% через двое суток, но к этому времени большинство таких сайтов прекращают работу, выполнив свою задачу.
3. Совет безопасности CA считает ошибкой тезис Google о том, что можно отказаться от индикатора EV на том основании, что пользователи не воспринимают его как положительный индикатор безопасности. Во-первых, более квалифицированные пользователи всё-таки знают разницу в типах сертификатов. Во-вторых, стоило бы предпринять усилия по информированию менее квалифицированных пользователей, которые не понимают отличия DV и EV. В-третьих, восприятие пользователя зависит от контекста: такие простые меры, как ремень безопасности в автомобиле, люди не замечают в обычных комфортных условиях, но это не повод отказываться от ремней безопасности.
4. Недостаточно полагаться только на URL для распознавания фишинга. Даже в исследовании Google отмечается, что пользователи испытывают затруднения, анализируя URL, и часто не замечают в нём ошибки и опечатки на фишинговых сайтах. В то же время индикатор EV не требует анализа URL.
Совет безопасности CA считает, что недостатки нынешних сертификатов EV — это повод поработать над их улучшением, а не причина для отказа. Статистика показывает, что сертификат EV лучше всего отсеивает фишинговые сайты. Чтобы эффективно его использовать, браузерам следует договориться о стандартной индикации, считает Совет безопасности, опять приводя аналогию из автомобильного мира: если знак «Стоп» отличается от страны к стране и от штата к штату, а водители не понимают его значения, то это не повод убирать со всех дорог знаки «Стоп», потому что они неэффективны.
Несмотря на визуальные изменения в браузерах, EV остаётся надёжным индикатором безопасности. Он по-прежнему подтверждает валидность юридического лица, просто теперь эта информация переместилась в другое место. Пользователям придётся щёлкнуть по пиктограмме с замочком, чтобы увидеть эти сведения.
Так что слухи о смерти EV-сертификатов оказались преждевременными. Есть вероятность, что специалисты по безопасности и дизайнеры разберутся в вопросе и скорректируют интерфейсы. Сейчас этот вопрос обсуждается с разработчиками браузеров.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Сертификат EV SSL вызывает у вас больше доверия, чем DV SSL?
53.53% Да, больше91
10.59% Нет, столько же18
35.88% Не обращаю внимания на тип сертификата61
Проголосовали 170 пользователей. Воздержались 10 пользователей.
