En las nuevas versiones de Chrome 77 y Firefox 70 (que saldrán el 22 de octubre), los certificados EV con verificación extendida han perdido su lugar habitual en la barra de direcciones . Ahora, a primera vista, no son diferentes de los certificados DV normales que validan un dominio. La información adicional sobre la compañía se divulga solo presionando el ícono del candado, pero no en la barra de direcciones.


Así es como se ve la información del certificado SSL SSL en Firefox 70

Los críticos de la industria están complacidos de que el "comercio aéreo" se detenga . Pero los propios registradores creen que EV SSL es demasiado pronto para enterrarlo.

Certificados de validación avanzada

Certificado de validación extendida (Extended Validation, EV): un tipo de certificado HTTPS en el que una autoridad de certificación realiza una verificación adicional del propietario de un dominio al vincular el dominio a una entidad legal. El procedimiento en sí puede tomar hasta dos semanas. De manera similar a los estándares bancarios de Conozca a su cliente , se verifican la dirección y el número de teléfono de la empresa. Esta información se incrusta en el certificado y se verifica mediante una firma digital de la autoridad de certificación.

  CN = www.bankofamerica.com
 NÚMERO DE SERIE = 2927442
 2.5.4.15 = Organización privada
 O = Corporación del Banco de América
 1.3.6.1.4.1.311.60.2.1.2 = Delaware
 1.3.6.1.4.1.311.60.2.1.3 = EE. UU.
 L = Chicago
 S = illinois
 C = EE. UU. 

Los certificados DV ordinarios simplemente confirman que el propietario controla el dominio especificado en el certificado. Al mismo tiempo, la autoridad de certificación no tiene idea de quién es el propietario del dominio y no puede contactarlo:

  CN = whoami.com 

Estos son en realidad certificados anónimos, útiles solo para cifrar el tráfico a través de HTTPS. No indican la seguridad del sitio de ninguna manera: cualquiera puede obtener dicho certificado a través de un procedimiento automatizado.

Anteriormente, la mayoría de los navegadores mostraban el nombre de la entidad legal y la jurisdicción directamente en la barra de direcciones, junto a la URL, como se muestra en la siguiente ilustración.


Interfaz de usuario anterior para mostrar certificados EV en los navegadores Firefox, Safari y Chrome

Safari fue el primero en abandonar esta práctica. Dejó de mostrar el nombre de la entidad jurídica y, en presencia de un certificado EV, el dominio simplemente se vuelve verde. Entonces la interfaz de Chrome cambió.


Chrome 76


Chrome 77

El 22 de octubre de 2019, la versión final de Firefox 70 está planeada con el mismo cambio.


Firefox 69


Firefox 70

Cabe señalar que las pautas del Foro de CA / Navegador para EV (Sección 2) indican específicamente que el objetivo principal de los certificados EV es informar a los usuarios de la identificación legal de la empresa con la que interactúan a través del sitio web. El objetivo secundario es combatir el phishing y otros tipos maliciosos de actividad web.

¿Por qué los navegadores han eliminado el indicador EV SSL?

La razón principal es el deseo de los desarrolladores de optimizar la interfaz del navegador, ya que la barra de direcciones larga no cabe en las pantallas de los dispositivos móviles. Sin embargo, no podían sacrificar la seguridad por conveniencia. Google inició un estudio especial, basado en el cual concluyó que el rechazo de EV todavía no reduce la seguridad. Este estudio encendió una luz verde antes de cambiar la interfaz de usuario, que fue requerida por los desarrolladores de interfaces para la comodidad del usuario.

Este es un estudio realizado por expertos en diseño de interfaz y seguridad de Google (grupo Chrome Security UX). Llegaron a la conclusión de que "la interfaz de usuario EV no proporciona protección al usuario correctamente".

Google señala que "la insignia EV ocupa un espacio valioso en la pantalla, puede mostrar nombres de compañías falsos en la interfaz de usuario y evita que Chrome se mueva hacia una indicación neutral en lugar de positiva de conexiones seguras". Según la lógica de los expertos de Chrome Security UX, la línea con el certificado EV es una indicación positiva de TLS, mientras que la indicación neutral es más efectiva en términos de impacto en los usuarios. Por lo tanto, en el futuro, los sitios con HTTPS se verán privados del icono de "candado", y para los sitios sin HTTPS, se mostrará una advertencia de seguridad. Esto animará a todos los sitios a instalar certificados SSL.

Un estudio de Google señaló las debilidades de los certificados EV:

• EV no garantiza que la compañía verificada no viole la ley, realice un negocio honesto, que sea verdaderamente segura y confiable.
  
• Los vehículos eléctricos no protegen contra el phishing porque los usuarios no los miran. En particular, no prestan atención al código de país de la empresa para la cual está registrado el certificado EV, que puede utilizarse para el fraude.
  
  
  Mapa de calor de la distribución de la atención de los usuarios de Chrome al demostrar certificados EV con diferentes jurisdicciones, de un estudio del grupo Chrome Security UX
  
• Los atacantes pueden obtener un certificado EV para una empresa con un nombre similar.
  
• El nombre legal de la empresa a veces es engañoso, no coincide con el nombre del sitio. Por ejemplo, el servicio de finanzas personales mint.com tiene un certificado EV emitido por Intuit Inc.

Lo que da un cheque extendido

El Consejo de Seguridad de CA considera que es un error eliminar EV de la barra de direcciones. Una organización que reúne a varias autoridades de certificación líderes presenta los siguientes motivos :

1. Solo un certificado EV puede confirmar que un sitio pertenece a una compañía específica . No es posible proteger los datos confidenciales del usuario si no sabemos qué compañía posee el dominio.

2. Protección contra el phishing . Los estudios muestran que los atacantes usan activamente certificados DV, ordenándolos por miles de forma gratuita a través de un procedimiento anónimo automatizado.

Como resultado, el phishing cambió masivamente a certificados DV. El FBI ya ha emitido una advertencia de que los usuarios no deben confiar en el ícono de bloqueo HTTPS o el indicador verde en el navegador , ya que la mitad de los sitios de phishing muestran dicho indicador .

Al mismo tiempo, obtener un certificado EV es difícil para los estafadores.



Estos son los resultados de un estudio de 3494 sitios de phishing con certificados SSL en febrero de 2019:

• EV: 0 sitios de phishing (0%)
  
• VO: 145 sitios de phishing (4.15%), en su mayoría certificados CDN multi-SAN multi-dominio como Cloudflare
  
• DV: 3349 sitios de phishing (95.85%)

Los filtros antiphishing del navegador no pueden hacer frente a la amenaza. Un estudio de NSS Labs de octubre de 2018 mostró que Google Safe Browsing desde el principio reconoce solo el 79% de los sitios de phishing . Este porcentaje aumenta al 95% en dos días, pero en este momento la mayoría de estos sitios dejan de funcionar, después de haber completado su tarea.



3. El Consejo de Seguridad de CA considera la tesis de Google de que es posible rechazar el indicador EV porque los usuarios no lo perciben como un indicador de seguridad positivo como un error . En primer lugar, los usuarios más calificados aún saben la diferencia en los tipos de certificados. En segundo lugar, valdría la pena hacer esfuerzos para informar a los usuarios menos calificados que no entienden las diferencias entre DV y EV. En tercer lugar, la percepción del usuario depende del contexto: las personas no notan medidas tan simples como el cinturón de seguridad en un automóvil en condiciones normales y cómodas, pero esta no es una razón para rechazar los cinturones de seguridad.

4. No es suficiente confiar únicamente en las URL de phishing. Incluso un estudio de Google señala que los usuarios tienen problemas para analizar las URL y, a menudo, no notan errores y errores tipográficos en los sitios de phishing. Al mismo tiempo, el indicador EV no requiere análisis de URL.

El Consejo de Seguridad de CA cree que las deficiencias de los certificados EV actuales son una excusa para trabajar en mejorarlos, no un motivo de rechazo. Las estadísticas muestran que el certificado EV elimina mejor los sitios de phishing. Para usarlo de manera efectiva, los navegadores deben acordar una pantalla estándar , dijo el Consejo de Seguridad, citando nuevamente una analogía del mundo automotriz: si la señal de Stop es diferente de un país a otro y de un estado a otro, y los conductores no entienden su significado, entonces esta no es una razón quite las señales de alto de todas las carreteras porque no son efectivas.

A pesar de los cambios visuales en los navegadores, EV sigue siendo un indicador de seguridad confiable. Todavía confirma la validez de la entidad legal, justo ahora esta información se ha trasladado a otro lugar. Los usuarios deberán hacer clic en el icono de candado para ver esta información.

Entonces, los rumores sobre la muerte de los certificados EV fueron prematuros. Es probable que los expertos y diseñadores de seguridad comprendan el problema y ajusten las interfaces. Ahora este tema se está discutiendo con los desarrolladores del navegador.

---