В новых версиях Chrome 77 и Firefox 70 (выйдет 22 октября) EV-сертификаты с расширенной проверкой лишились своего привычного места в адресной строке. Теперь они на первый взгляд не отличаются от обычных DV-сертификатов, которые валидируют домен. Дополнительная информация о компании раскрывается только по нажатию пиктограммы с замочком, но не в адресной строке.


Так выглядит информация о сертификате EV SSL в Firefox 70

Критики индустрии рады, что «торговля воздухом» прекратится. Но сами регистраторы считают, что EV SSL рано хоронить.

Сертификаты с расширенной проверкой


Сертификат c расширенной проверкой (Extended Validation, EV) — тип сертификата HTTPS, в котором центр сертификации проводит дополнительную проверку владельца домена, привязывая домен к юридическому лицу. Сама процедура может занимать до двух недель. Аналогично банковским стандартам Know Your Client проверяются адрес и телефон компании. Эта информация затем внедряется в сертификат и заверяется цифровой подписью центра сертификации.

CN = www.bankofamerica.com
SERIALNUMBER = 2927442
2.5.4.15 = Private Organization
O = Bank of America Corporation
1.3.6.1.4.1.311.60.2.1.2 = Delaware
1.3.6.1.4.1.311.60.2.1.3 = US
L = Chicago
S = Illinois
C = US

Обычные DV-сертификаты просто подтверждают, что владелец контролирует домен, указанный в сертификате. При этом центр сертификации не имеет понятия, кто является владельцем домена и не имеет возможности с ним связаться:

CN = whoami.com

Это фактически анонимные сертификаты, полезные только для шифрования трафика по HTTPS. Они никак не указывают на безопасность сайта: кто угодно может получить такой сертификат через автоматизированную процедуру.

Раньше большинство браузеров отображали название юридического лица и юрисдикцию прямо в адресной строке, рядом с URL, как показано на иллюстрации ниже.


Прежний UI для отображения сертификатов EV в браузерах Firefox, Safari и Chrome

Первым от этой практики отказался Safari. Он перестал отображать название юридического лица, а при наличии EV-сертификата домен просто окрашивается в зелёный цвет. Затем изменился интерфейс Chrome.


Chrome 76


Chrome 77

22 октября 2019 года планируется финальная версия Firefox 70 с таким же изменением.


Firefox 69


Firefox 70

Нужно заметить, что методические рекомендации Форума CA/Browser для EV (раздел 2) конкретно указывают, что основная цель сертификатов EV — информирование пользователей о юридической идентификации бизнеса, с которым они взаимодействуют через веб-сайт. Вторичная цель — борьба с фишингом и другими вредоносными видами веб-активности.

Почему браузеры убрали индикатор EV SSL


Главная причина — желание разработчиков оптимизировать интерфейс браузера, поскольку длинная адресная строка не помещается на экраны мобильных устройств. Однако они не могли жертвовать безопасностью ради удобства. Компания Google инициировала специальное исследование, на основании которого сделала вывод, что отказ от EV всё-таки не снижает безопасность. Это исследование зажгло зелёный свет перед изменением UI, которого требовали разработчики интерфейсов для удобства пользователей.

Речь об исследовании, проведённом специалистами по дизайну интерфейсов и безопасности Google (группа Chrome Security UX). Они пришли к выводу, что «EV UI не обеспечивает защиту пользователей должным образом».

Google отмечает, что «значок EV занимает ценное пространство экрана, может показывать поддельные названия компаний в пользовательском интерфейсе и мешает Chrome двигаться к нейтральной, а не положительной индикации защищённых соединений». По логике специалистов Chrome Security UX, строка с EV-сертификатом — это положительная индикация TLS, в то время как более действенной с точки зрения воздействия на пользователей является нейтральная индикация. Поэтому в перспективе сайты с HTTPS будут лишены пиктограммы «замочка», а для сайтов без HTTPS будет отображаться предупреждение безопасности. Это подтолкнёт все сайты к установке SSL-сертификатов.

В исследовании Google отмечаются слабости сертификатов EV:

  • EV не гарантируют, что прошедшая проверку компания не нарушает закон, ведёт честный бизнес, что она действительно безопасна и заслуживает доверия.
  • EV плохо защищают от фишинга, потому что пользователи не всматриваются в них. В частности, они не обращают внимание на код страны для компании, на которую зарегистрирован EV-сертификат, что можно использовать для мошенничества.


    Тепловая карта распределения внимания пользователей Chrome при демонстрации EV-сертификатов с разными юрисдикциями, из исследования группы Chrome Security UX
  • Злоумышленники могут получить EV-сертификат на компанию с похожим названием.
  • Юридическое название фирмы иногда вводит в заблуждение, не совпадая с названием сайта. Например, у сервиса для ведения персональных финансов mint.com сертификат EV выдан на юрлицо Intuit Inc.

Что даёт расширенная проверка


Совет безопасности CA считает ошибкой решение убрать EV из адресной строки. Организация, которая объединяет ряд ведущих центров сертификации, приводит такие доводы:

1. Только сертификат EV может подтвердить принадлежность сайта определённой компании. Невозможно обеспечить защиту конфиденциальных данных пользователя, если мы не знаем, какая компания владеет доменом.

2. Защита от фишинга. Исследования показывают, что злоумышленники активно пользуются сертификатами DV, заказывая их тысячами бесплатно через автоматизированную анонимную процедуру.

В результате фишинг массово перешёл на DV-сертификаты. ФБР уже выдало предупреждение, что пользователям не следует доверять пиктограмме замочка HTTPS или зелёному индикатору в браузере, поскольку половина фишинговых сайтов демонстрирует такой индикатор.

В то же время получить сертификат EV мошенникам затруднительно.



Вот результаты исследования 3494 фишинговых сайтов с SSL-сертификатами в феврале 2019 года:

  • EV: 0 фишинговых сайтов (0%)
  • OV: 145 фишинговых сайтов (4,15%), в основном, это мультидоменные сертификаты multi-SAN от CDN вроде Cloudflare
  • DV: 3349 фишинговых сайтов (95,85%)

Антифишинговые фильтры браузеров не справляются с угрозой. Исследование NSS Labs от октября 2018 года показало, что Google Safe Browsing со старта распознаёт только 79% фишинговых сайтов. Этот процент возрастает до 95% через двое суток, но к этому времени большинство таких сайтов прекращают работу, выполнив свою задачу.

image

3. Совет безопасности CA считает ошибкой тезис Google о том, что можно отказаться от индикатора EV на том основании, что пользователи не воспринимают его как положительный индикатор безопасности. Во-первых, более квалифицированные пользователи всё-таки знают разницу в типах сертификатов. Во-вторых, стоило бы предпринять усилия по информированию менее квалифицированных пользователей, которые не понимают отличия DV и EV. В-третьих, восприятие пользователя зависит от контекста: такие простые меры, как ремень безопасности в автомобиле, люди не замечают в обычных комфортных условиях, но это не повод отказываться от ремней безопасности.

4. Недостаточно полагаться только на URL для распознавания фишинга. Даже в исследовании Google отмечается, что пользователи испытывают затруднения, анализируя URL, и часто не замечают в нём ошибки и опечатки на фишинговых сайтах. В то же время индикатор EV не требует анализа URL.

Совет безопасности CA считает, что недостатки нынешних сертификатов EV — это повод поработать над их улучшением, а не причина для отказа. Статистика показывает, что сертификат EV лучше всего отсеивает фишинговые сайты. Чтобы эффективно его использовать, браузерам следует договориться о стандартной индикации, считает Совет безопасности, опять приводя аналогию из автомобильного мира: если знак «Стоп» отличается от страны к стране и от штата к штату, а водители не понимают его значения, то это не повод убирать со всех дорог знаки «Стоп», потому что они неэффективны.

Несмотря на визуальные изменения в браузерах, EV остаётся надёжным индикатором безопасности. Он по-прежнему подтверждает валидность юридического лица, просто теперь эта информация переместилась в другое место. Пользователям придётся щёлкнуть по пиктограмме с замочком, чтобы увидеть эти сведения.

Так что слухи о смерти EV-сертификатов оказались преждевременными. Есть вероятность, что специалисты по безопасности и дизайнеры разберутся в вопросе и скорректируют интерфейсы. Сейчас этот вопрос обсуждается с разработчиками браузеров.




Комментарии (11)


  1. MasMaX
    30.09.2019 11:51

    Если окно браузера не шире 1000 точек, то длинная строка в названием вызывает проблемы немного, адрес не видно целиком. Вот например
    image


    1. tendium
      01.10.2019 15:16

      Достаточно убрать строку поиска из верхней панели (поиск уже давно можно делать напрямую через строку с url) + уменьшить максимальную длину строки с описанием юр.лица. Всё же домен первичен, имхо.


      1. MasMaX
        01.10.2019 23:17

        Строка поиска это уже привычка. Тем более часто ищу через разные поисковики и в этой строке есть выбор кем искать.


        1. tendium
          02.10.2019 00:52

          этой строке есть выбор кем искать.

          и для этого есть решение (префикс поисковика перед запросом)


  1. Kz1nch
    30.09.2019 13:01
    +1

    Совсем недавно меня затронула данная проблема нехватки места в адресной строке и в Firefox её получилось решить путём редактирования userChrome.css
    forum.mozilla-russia.org/viewtopic.php?pid=772696


  1. amarao
    30.09.2019 13:13

    Мне нравится призыв стандартизировать всё как сигналы автомобилей от страны, у которой поворотники не обязательны и машины могут мигать стоп-сигналами. Прямо вершина стандартизации.


    1. Urvdmih
      03.10.2019 11:53

      А еще не могут в метрическую систему.


  1. codecity
    30.09.2019 20:39

    желание разработчиков оптимизировать интерфейс браузера, поскольку длинная адресная строка не помещается на экраны мобильных устройств

    Могли бы просто выделять зеленым или использовать замочек + птичку (как на ютюбе, когда канал проверен). Ведь это важная информация, которую пользователю знать полезно.

    Тут дело в другом — вопрос скорее финансовый — хотят откат.


  1. Chupaka
    30.09.2019 23:42

    Водители действительно не понимают значения знака "Стоп"?..


    1. tendium
      01.10.2019 15:19

      image

      Такой, наверное, поймет не каждый водитель. :)


  1. Sheti
    01.10.2019 06:52

    Всё таки сигнал об отсутствии HTTPS более сильный, чем зелёный замок или зелёный URL. Потому что в нынешнее время получить сертификат нет никаких проблем.
    На это ещё и накладывается проблема того, что средний пользователь вообще не понимает, что такое адрес сайта.