هذا كل ما قلته: شهادات التحقق الممتدة ماتت. بالطبع ، لا يزال بإمكانك شرائها (وستبيعها بعض الشركات لك بسرور!) ، لكن فوائدها انخفضت الآن من "بالكاد" إلى "غير موجود". حدث التغيير في عدد من العوامل ، بما في ذلك تزايد شعبية الأجهزة المحمولة ، وإزالة مؤشر EV البصري من المتصفحات ، من iOS (وكذلك من MacOS Mojave):
للتوضيح ، اخترت موقع Comodo ، لأنهم أظهروا هذا اليأس المرتبط ببيع EV ، قبل شهر فقط أرسلوا لي رسالة إعلانية بعنوان "كيفية الحصول على شريط عنوان أخضر لموقعك." في الرسالة ، يبدأون في إخبار النسخة "البديلة" للحقيقة:
في الواقع ، هذا ما يبدو عليه Firefox اليوم ، لكنهم ينسون تمامًا أن يذكروا في الرسالة الإعلانية أن هذا مؤشر مرئي تعسفي بحت ، والذي يترك لتقدير مطوري المتصفح. من الواضح أن Apple قتله بالفعل ، ولكن حتى بالنسبة للعديد من الأشخاص على Chrome ، يبدو موقع Comodo مختلفًا جدًا (تجربة Chrome):
توضح الرسالة كيف يحارب EV التصيد ويذكر ما يلي:
يسمح لك عرض اسم الشركة الذي تم التحقق منه بالتعرف بسرعة على الكيان القانوني وراء موقع الويب ، مما يجعل التصيد الاحتيالي والاحتيال أمرًا صعبًا.
بمعنى آخر ، إذا رأينا اسم الشركة ، فإن هذا يؤدي إلى مستوى أعلى من الثقة ، وإذا قمت بقلب هذا البيان ، فإن
لم نشاهد اسم الشركة ، فهذا يؤدي إلى انخفاض الثقة ، أليس كذلك؟ تكمن المشكلة في أن الناس ببساطة لا
يتوقعون رؤية اسم الشركة ، وهناك دليل بسيط وفعال على سبب ذلك:
عشرة من أكبر المواقع في العالم: لا يوجد EV في أي مكانيواصل Comodo إقناع EV بفعاليته ، مستشهداً بـ "دراسة حديثة":
"وجدت دراسة حديثة أجراها موقع DevOps.com أن العملاء أكثر ثقة بنسبة 50٪ في الثقة والشراء على المواقع التي تحتوي على شريط عناوين أخضر."
إنها ترتبط
بصفحة طويلة في ComodoStore وعلى الرغم من أن هذا لم يتم ذكره بشكل صريح في أي مكان ، فإن الكلمات تشير ضمنيًا إلى أن الدراسة كانت مستقلة ونزيهة إلى حد ما: "أجرت Devops.com استطلاعًا" وعبارات أخرى مماثلة. لقد
نشرت عن هذا في يوليو ، ولكن هذه الصورة توضح كل ما تحتاج إلى معرفته حول دوافع "الاستطلاع":
لقد حاولت بصدق معرفة عميل هذا العمل ، وأكتب أولاً للمؤلف توني برادلي ، ولم
أتلق إجابة ، سألت
TechSpective على Twitter ، حيث هو رئيس التحرير ، و
dopsopsdotcom (بالمناسبة ، متابعي) الذين نشروا الاستطلاع:
في النهاية ، أكد توني برادلي حقيقة واضحة تمامًا. اعتذر عن الرد المتأخر لأنه نادرًا ما قام بتسجيل الدخول إلى Twitter واسم العميل Comodo CA.
أود أن أرى هذا المؤشر في التقرير نفسه ، لأن مشاركة كومودو تؤدي بوضوح إلى التحيز. يبدو الأمر كما لو أن شركة نفط تطلب تقريرًا خلص إلى أن الوقود الأحفوري ليس ضارًا بالبيئة ، أو تدعي شركة التبغ أن التدخين ليس ضارًا بالصحة. إذا كنت لا تزال تعتقد أن DevOps.com يؤمن حقًا بـ "فائدة" شهادات EV ، فألق نظرة على ما يلي:
تم ذكر هذا المورد بشكل متكرر في رسالة مبيعات Comodo ، ولكن انتقل إلى الأمام. كما يذكرون أنه يمكنك "تنشيط شريط العناوين الأخضر" بمجرد شراء شهادة EV:
"لتنشيط شريط العناوين الأخضر على موقعك ، ما عليك سوى شراء شهادة SSL Extended Validation (EV) وتثبيتها."
ليس في المتصفح الأكثر شعبية لنظام iOS في العالم:
وليس في Chrome لنظام Android ، أشهر نظام تشغيل في العالم:
دعونا نلقي نظرة على Microsoft Edge على iOS ، ومرة أخرى هذه النتيجة المتوقعة:
هذه لقطات شاشة مهمة
جدًا جدًا تقلل من قيمة EV لسببين رئيسيين. أولاً ،
ما يقرب من 2/3 من جميع مشاهدات الصفحة في العالم تأتي من أجهزة الجوال . أي أن لقطات الشاشة أعلاه توضح وجهة النظر السائدة التي يجب أن يفكر فيها مالك الموقع. ثانيًا ، نتيجة لذلك ، لا تستطيع الشركات أن تطلب من عملائها توقع EV ، لأن معظمها لن يراها أبدًا. بغض النظر ، يقترح كومودو أن EV لديه ميزة "شريط أمان أخضر أطول":
"شريط الأمان الأخضر الكبير هو إشارة واضحة جدًا للمستخدم بأن الموقع آمن."
هل تعرف بالضبط ما هي هذه الإشارة؟ الرمز الأخضر بجوار عنوان URL في Chrome على سطح المكتب! وإذا قرأتها وفكرت: "انتظر ، لم يعد Chrome يفعل ذلك" ، فأنت على حق تمامًا. لم يعد الرمز يبرز ولم تعد هناك كلمة
آمنة :
لم يؤثر التغيير في Chrome 69 بتاريخ 4 سبتمبر ليس فقط على DV ، ولكن أيضًا على المواقع التي تحتوي على EV:
هنا أحاول التأكيد على أن المؤشرات المرئية تظل بالكامل وفقًا لتقدير مطوري المتصفح وتتغير بمرور الوقت. وبالتالي ، فإن العبارة "كيفية الحصول على شريط عنوان أخضر على موقعك" أصبحت الآن أكثر خطأ مما كانت عليه عندما تمت كتابته! في الواقع ، فإن التمثيل الوحيد الأكثر أو الأقل دقة للمركبة الكهربائية في هذه الرسالة هو الاعتراف بأنه
لا يمكنك الحصول على شهادة EV wildcard . لكن انتظر! هناك حل يمكن الوصول إليه بسهولة ، فقط أغلى قليلاً ، ويطلق عليه شهادة
متعددة المجالات ، وهذا الخيار الافتراضي لـ
Comodo's Enterprise SSL Pro مع EV Multi-Domain سيوفر لك حقًا $ 5002.44 *:
* ملاحظة: تحتاج إلى إنفاق 9746.75 دولارًا للحصول على هذه المدخرات
للتوضيح ، هذه ليست شهادة مدتها أربع سنوات. كما يشير النص أدناه ، تحدد قواعد منتدى CA / B الحد الأقصى لفترة صلاحية الشهادة لمدة عامين ، وبعد ذلك تحتاج إلى تكرار عملية التحقق والإصدار يدويًا. لكن اللعنة ، هذا لن يسمح لنا ببيع الشهادات لمدة 4 سنوات!
ولكن ماذا لو
لم تجدد الشهادة؟ حسنًا ، تحصل على
هذا :
قد تفكر: "حسنًا ، إنه واضح نوعًا ما ، وكذلك الحال مع DV" ، ولكن هناك فروق دقيقة. أولاً ، يحدث إهمال تجديد الشهادة بشكل منتظم ينذر بالخطر ، ويحدث هذا أيضًا مع الأشخاص الكبار. على سبيل المثال ،
نسيت Microsoft تحديث secure.microsoft.co.uk في عام 2001 . طويل جدًا؟ لم
يجددوا الشهادة لنطاق Azure في عام 2013 . وبالطبع ، ليس لدى Microsoft فقط مثل هذه المشاكل: على سبيل المثال ،
نسيت HSBC تجديد الشهادة في عام 2008 ، فقد تعرض Instagram لهذه الكارثة قبل ثلاث سنوات ، و
LinkedIn العام الماضي . هناك العديد
والعديد من الأمثلة الأخرى ، وكلها توضح الحقيقة المشتركة نفسها: إذا كانت هناك مهمة مهمة ومتكررة ، قم بأتمتتها!
وهذا ينقلني إلى النقطة الثانية: يجب أن يكون تجديد الشهادة تلقائيًا ، وهذا شيء لا يمكنك فعله ببساطة إذا كان التحقق من الهوية مطلوبًا. مع شهادة DV ، تكون الأتمتة سهلة ؛ فهي حجر الزاوية في Let's Encrypt وهي سمة مهمة حقًا لهذه الخدمة. لقد أمضيت بعض الوقت مؤخرًا مع فريق التطوير في أحد البنوك الأوروبية الكبرى ، وكانوا يفكرون بجدية في التخلي عن EV لهذا السبب. في الواقع ، ليس فقط لهذا السبب ، كان لا يزال هناك خطر من أنهم سيحتاجون إلى الحصول على شهادة جديدة بسرعة كبيرة (على سبيل المثال ، بسبب اختراق المفاتيح) ، وهو أمر أكثر صعوبة بالنسبة EV من DV. بالإضافة إلى ذلك ، تخلق الشهادات طويلة الأجل بالفعل مخاطر إضافية بسبب إجراء
الإبطال المكسور ، لذلك فإن التكرار السريع (على سبيل المثال ، شهادات Let's Encrypt صالحة لمدة 3 أشهر) تصبح ميزة. الشهادات الصالحة لمدة عامين
ليست ميزة ، إلا من حيث كسب المال عليها ...
(من المفارقات أن قصة LinkedIn على الرابط أعلاه مرتبطة بـ TheSSLStore.com ، وهو بائع شهادات. أنت تفهم المخاطر ، ولكن بدلاً من تقديم الأتمتة كجزء من حل تجديد الشهادة ، فإنها تقدم حلولًا "تتطور إلى مستوى المؤسسة" من المراكز شهادات مثل Comodo ، والتي ، بالطبع ، تدفع EV. لا يوجد ذكر لـ Let's Encrypt. يتم
انتقادها بصوت عالٍ لإصدار الشهادات إلى مواقع التصيد (مع التحقق الصحيح من اسم النطاق) ، على الرغم من أن
Comodo أصدر نفس المبلغ !
يعد نقص دعم حرف البدل أحد الأسباب
الفنية الرئيسية التي يجب تجنب EV (الأسباب الأخرى هي في الغالب مجرد الحس السليم) ، ولا يمكن ملء حقل subjectAltName كبديل كافٍ. على سبيل المثال ، لدينا شهادة حرف بدل على موقع
Report URI الخاص بنا ، لذا يمكنك إرسال التقارير إلى https: // [my company name] .report-uri.com ، ولدينا المئات من هذه النطاقات الفرعية. يسر Comodo دعم هذا النطاق:
بالإضافة إلى حقيقة أن
سكوت هيلم وأنا ليس لدينا حقًا 808 ألف دولار ، فهذا أيضًا بعيد عن شهادة البدل الحقيقية ، لأنه في وقت إصدارها ، سيكون عليك تحديد جميع أسماء المضيفين بدلاً من الصيانة الديناميكية.
والنقطة الأخيرة في هذه الرسالة التسويقية هي وعد الضمان:
وهي ترتبط مباشرة بالصفحة بشهادات EV باهظة الثمن متعددة المجالات ولا تحاول حتى شرح جوهر الضمان ، وهو أمر غريب بعض الشيء. لكن هذا أمر مفهوم ، لأنه
لا أحد يعرف حقًا ما هو الضمان وما إذا كان أي شخص قدم طلبًا للحصول عليه مرة واحدة على الأقل . بجدية - لا ينبغي أن يكون هذا بيانًا تافهًا ، حاولت أنا وسكوت بصراحة اكتشاف ذلك في بداية العام - وببساطة لم نتمكن من الحصول على إجابات مباشرة. عندما تمكنت من الدخول في حوار اتهموني بأنني "خارج المهووسين":
الحوار:
أندرياس موليك : أندي ، هؤلاء الأشخاص لا يريدون الاعتراف باختلافهم - فهم مهووسون جدًا لفهم أن الأشخاص العاديين لديهم احتياجات مختلفة عن الناس في نيردفيل. Nerdville يكفي بالنسبة لي ، أنا أعود للتعامل مع مشاكل موكلي من العالم العادي. اراك قريبا.
Troy Hunt : Andreas ، سألت سؤالًا معقولًا جدًا وهذا مهم ، لأن الشهادات تُباع بضمان ، وأنا أحاول أن أفهم ما يعنيه هذا. يريد العملاء الحقيقيون معرفة ما يغطي هذا الضمان وهل هناك أمثلة موثقة على استخدامه؟ هل تعرف عنهم؟بكل المقاييس ، كانت هذه إجابة غير متوقعة للغاية ، ليس من أي شخص ، ولكن من
الرئيس التنفيذي لشركة CertCentre ، حيث يبدو أنه أول من يقدر الأهمية العالية لضمان الشهادة (بشرط أن يكون ذلك مهمًا حقًا بالطبع). إذا كنت تدفع لمثل هذه الشركة مقابل منتج مع مجموعة الوظائف المعلنة ، فمن الطبيعي أن تسأل كيف تعمل هذه الوظائف ، ولا ينبغي أن يؤدي ذلك إلى السخرية من الرجل الذي يدير هذه الشركة. لسوء الحظ ، بدلاً من الإجابة على السؤال ، طبق أندرياس طريقة النعام المجربة والمختبرة:
ما يثير الأسئلة حقًا هو أن الضمان يباع مقابل المال (بالطبع ، لا تتلقى ضمانًا باستخدام شهادة Let's Encrypt) ، لكنهم ليسوا مستعدين لشرح ما تحصل عليه بالضبط مقابل أموالك.
تعمل CertCentre أيضًا بنشاط على تعزيز الضمان باعتباره "عنصرًا من أعلى مستويات الأمان" :
ولكن الأصدقاء ، إذا كنت لا تستطيع حتى
تهجئة كلمة
الضمان بشكل صحيح ، فما هي الفرص الحقيقية لفهم ما تقوم به ؟!
مسمار آخر في نعش EV هو
تقرير نصف سنوي لـ Scott Alexa Top 1M عن الشهر الماضي. يوفر إحصاءات مشجعة حول انتقال المواقع من HTTP إلى HTTPS:
مواقع HTTPS بالفعل 52 ٪ ، وهو أمر جيد جدًا للإنترنت ككل. لكني كنت مهتمًا بمثل هذا التعليق بخصوص EV:
"على الرغم من النمو القوي في HTTPS في أول مليون موقع ، لا توجد زيادة في حصة شهادات EV".
بالأرقام: في شباط (فبراير) 366 005 ، أعادت مواقع HTTP توجيه طلبات HTTP إلى HTTPS ، واستخدم 19 802 منهم شهادات EV ، وهو ما يمثل 5.41٪ من مواقع HTTPS. في أغسطس ، تم إعادة توجيه 489،293 إلى HTTPS ، و 25،158 منهم لديهم شهادات EV ، وهو 5.14 ٪. وبعبارة أخرى ، انخفضت حصة EV في السوق بنحو 5 ٪.
(ملاحظة: يشكل 489،293 بالفعل 52 ٪ من العينة المليون ، لأنه لم يتم مسح 47000 موقع واستبعادها من الإحصاءات).
اتضح أن العديد من المواقع
ترفض بالفعل شهادات EV. قبل شهر ،
قدم سكوت قائمة مفصلة بالمواقع الرئيسية التي استخدمت EV من قبل : Shutterstock و Target و UPS والشرطة البريطانية. في نفس الوقت تقريبًا ،
لاحظت أنه حتى تويتر تخلى عن EV.
قصة Twitter غريبة بعض الشيء ، لأنه في الواقع يمكنك أن ترى ما إذا كان لديهم شهادة EV على موقعهم أم لا ، اعتمادًا على موقعك. يوضح هذا أيضًا شيئًا حول فعالية EV: إذا كانوا على استعداد لإزالته أو إضافته ، فمن غير المرجح أن يتصرف الناس بشكل مختلف ويثقون في موقع بدون EV أقل. ولكن هذا هو الأساس الذي بنيت عليه آليات EV!
ليس فقط Comodo و CertCentre يقومون بحملات تضليل ، ولكن أيضًا العديد من الحملات الأخرى ، على سبيل المثال:
بالإضافة إلى اختيار المتصفحات التاريخية (كم عمر هذه الصورة؟!) ، العبارة التالية موجودة في
المقالة حسب المرجع :
"يوصي خبراء أمن الويب باستخدام شهادة EV SSL لمنصات مثل التجارة الإلكترونية والبنوك ووسائل التواصل الاجتماعي والرعاية الصحية والحكومة ومنصات التأمين."
لست متأكدًا من الأشخاص الذين يشيرون إليهم في الكلمات الأولى ، لكنني أعلم أنه بصرف النظر عن البنوك ، فإن هذا البيان ببساطة لا يحمل المياه للصناعات الأخرى. من السهل توضيح مدى خطأها بشكل أساسي.
فيما يلي
أكبر مواقع التجارة الإلكترونية في العالم . انقر على كل منها وتحقق مما إذا كان لديهم EV:
- أمازون
- نيتفليكس
- يباي
يمكنك القول أن Alexa صنفت Netflix بشكل غير صحيح على أنه موقع للتجارة الإلكترونية ، ثم انظر إلى
walmart.com ، التالي التالي الأكثر شعبية ، واحصل على نفس النتيجة. لا يوجد مكان EV.
ننتقل.
الوضع هو نفسه مع
وسائل التواصل الاجتماعي :
- الفيسبوك
- تويتر
- ينكدين
كما تمت مناقشته سابقًا ، يعاني تويتر من أزمة هوية طفيفة من حيث ما إذا كان يدعم EV ، لذا تحقق من رابع أكبر موقع إلكتروني للولاء:
Pinterest .
في
مواقع الرعاية الصحية الأكثر شهرة في العالم ، نفس الشيء:
- المعهد الوطني للصحة
- Webmd
- Mayo Clinic (مايو كلينك)
لا EV. بشكل عام. لا شيء واحد.
لم أتمكن من العثور على قائمة واضحة لأكبر مواقع الويب الحكومية ، لذلك قمت بسحب البيانات من
الزحف الليلي Alexa Top 1M في Scott واخترت أكبر المواقع في منطقة .gov. المعهد الوطني للصحة هو الأكبر ، لكننا قمنا بفحصه بالفعل ، لذلك نأخذ الثلاثة التالية:
- وكالة تحديد الهوية الفريدة في الهند (التي لديها مشكلات أساسية أخرى مع دعم HTTPS )
- مكتب الضرائب في الهند
- GOV.UK
الآن ، لقد أدركت بالفعل أن فرصة لقاء EV هي على الأقل في مكان ما. أنت على حق - ليست ضربة واحدة.
وأخيرًا ،
مواقع التأمين الأعلى :
- رابطة السيارات المتحدة للخدمات
- القيصر الدائم
- Geico
وجدنا واحدة! لدى USAA حقًا شهادة EV! الاثنان الآخران لا ، ولكن على الأقل شيء ، أليس كذلك؟
إذا أوصى "خبراء أمان الويب" EV لهذه الفئات من المواقع ، فمن الواضح أن هذه المواقع لا تستمع إليها. لذا فإن هذه التوصيات ذات طبيعة شعرية.
هناك مجموعة أخرى من الادعاءات التي لا أساس لها من الصحة حول SSL وهي أن EV "يزيد من تحويل المعاملات" و "يقلل من الخروج من سلة التسوق" و "يحمي من هجمات التصيد الاحتيالي". يمكنك أن تفهم سبب قيامهم بهذه العبارات: السبب واضح في شكل أزرار أسفل النص مباشرة:
لذا ، عدنا مرة أخرى إلى تحيز واضح. ولكن مهلا ، إنهم يحاولون القيام بأعمال تجارية فقط ، لذلك أفهم الدوافع. يمكننا أيضًا أن نفترض أن بدء مثل هذه الأعمال التجارية يرغبون في زيادة التحويل ، أليس كذلك؟ حسنًا ، هذا مضحك:
حتى البائع EV نفسه ذكي بما يكفي لعدم إنفاق المال عليه! بالإضافة إلى ذلك ، نتذكر أن "شريط العناوين الأخضر" نفسه اختفى تمامًا الآن بفضل المتصفح الأكثر شعبية في العالم ، والذي قتله في الإصدار 69.
هناك جدال حول التصيد. غالبًا ما يُدعى أن EV يقللها إلى حد ما. هذا هو بالضبط ما ورد في الشريحة من عرض Entrust منذ بداية هذا العام:
هناك مجموعة كاملة من الاحتيال ، ولتحليلها ، من الأفضل قراءة
هذا الموضوع من Ryan Slevy. قام بتحليل
الدراسة التي تستند إليها الشريحة.
Ryan هو مصمم تشفير ذكي للغاية يعمل على Chromium ، ولديه قدرة ممتازة على كشف أي هراء واضح لتنقية المياه. في النهاية ،
يلخص الموقف : "بشكل عام ، هذه مقالة سيئة. لكن الأسوأ من ذلك أنهم يحاولون تمريرها على أنها أبحاث "تعتمد على البيانات". يستخدمون منهجية خاطئة ونهج انتقائي لدعم نموذج الأعمال الذي يعتمد على المستخدمين المسؤولين فقط عن الكشف عن تغييرات واجهة المستخدم. "
أي أننا نعود إلى حقيقة أن EV ستكون فعالة فقط إذا قام الأشخاص بتغيير سلوكهم بسبب التغييرات في واجهة المستخدم. في الواقع ، لا يعرف الناس ما يجب الانتباه إليه ، ويزول هذا التغيير نفسه بشكل عام تدريجياً. أو أن التغيير ضئيل للغاية بحيث لا يستطيع الناس الانتباه إليه. هل تتذكر أول لقطة شاشة في المقالة حيث لم يعد متصفح Safari يعرض اسم الشركة المسجلة في شهادة EV؟ قارنها بلقطة شاشة لمدونتي ، وفتح أيضًا في Safari على iOS 12:
ترى الفرق؟ أصبح عنوان URL لموقع EV والقلعة المجاورة له الآن باللون الأخضر ، بينما كان موقع DV باللون الأسود. لذا ، لإنشاء توقعات مناسبة للمستخدمين ، يحتاجون إلى إخبارهم بالبحث عن عناوين URL
الخضراء وقفل ... إلا إذا كانوا يستخدمون Chrome ، الذي حذف جميع العناصر الخضراء بشكل عام! من الواضح ، كم هو سخيف أن تشرح للمستخدمين مثل هذه الفروق الدقيقة في المتصفح ، خاصة بالنظر إلى سرعة تغييرهم.
بالعودة إلى موقع "حول طبقة المقابس الآمنة" (SSL) ، يوجد مثل هذا الفيديو حيث يشرح المتحدث مزايا EV في نفس النقاط التي استعرضناها. فيديو لمدة 6 دقائق ، إذا كان لديك الصبر لمشاهدة:يمكننا أن ننتقل مباشرة إلى المثير للاهتمام ، على سبيل المثال ، عندما يتحدث المضيف ( ومدير تسويق منتجات Comodo ) عن مدى أهمية EV للمعاملة المالية:"في اللحظة الحرجة للغاية ، عندما يقررون ما إذا كانوا يريدون إجراء معاملة ، فإن هذا المؤشر المرئي اللافت للنظر (الخط الأخضر EV) بالمعلومات التي تؤكد اسم الشركة وموقعها وهيئة إصدار الشهادات يمنح الثقة اللازمة لاتخاذ قرار."
تم تعزيز الأطروحة من خلال لقطة شاشة من موقع Excalibur Cutlery & Gifts على الويب :
ربما تشعر بالفعل أنه سيكون ... وأنت على حق:
لا EV. لا يوجد DV تجاري على الإطلاق ، ولكن شهادة Let's Encrypt مجانية طبيعية تمامًا . يشبه الفيديو عصرًا قديمًا: حيث يتم فتح المواقع في IE8 على نظام التشغيل Windows XP ... لا يمكنني فعل أي شيء ، ولكن هناك شعور بأن الموقف إلى حد ما ... قديم. اتضح أنه:
لم أقم بتقييم الفيديو قبل عشر سنوات تقريبًا من منظور اليوم ، ولكن يتم التعبير عن نفس النقاط كما هي اليوم. وبالطبع ، تتم الإشارة إلى مقالة مع هذا الفيديو بواسطة تغريدة نُشرت قبل شهر فقط تحت غطاء "دليل مهم لشهادة التحقق من SSL المتقدمة" ، لذا فإن كل شيء عادل.ليست هذه هي المرة الأولى التي تستخدم فيها Comodo مواقع EV لترويج EV التي تفتقر إلى EV. في الآونة الأخيرة ، أطلعني شخص ما على رسالة من Comodo تذكرني بتجديد النطاق:
بطبيعة الحال ، أصبح مهتمًا بـ Mostlydead.com وأراد أن يرى كيف كانت "زيادة المبيعات بنسبة 20 ٪" (وفقًا لكين كريسن). حسنا ، أنت تفهم ، لأن EV "يزيد ثقة المستهلك". يبدو أنه لا شيء أكثر من ذلك:
كلما تعمقت في الموضوع ، كلما اقتنعت بأن EV ... ميت تقريبًا. بعد كل شيء ، هذا ليس مجرد موقع عشوائي تحول من EV إلى DV. تم اختيار هذا الموقع خصيصًا لإثبات قيمة EV! يجب أن يكون مثالاً على قيمة EV ، وقد روج لها Comodo حتى يومنا هذا. ومع ذلك ، نرى أن كين كريسن غير رأيه بوضوح حول فعالية EV (وربما لم يكن لديه مثل هذا الرأي).بدأ الوضع مع EV في الظهور بهذا الشكل:
ولكننا لم ننته بعد: أريد أن أذكر موقعًا آخر كان لديه شهادة EV ، وقد عاد الآن إلى DV. هذا هو الموقع:
ملاحظة المترجم: أطلق TIB Hunt موقع HIBP بقاعدة بيانات الحسابات المسروقة.لقد غيرت الشهادة أول من أمس ، وحتى الآن لم يذكرها أحد. لا أحد. ليست روحًا واحدة ، لكن جمهوري على دراية أفضل بكثير بهذه الأشياء من المستخدم العادي. بطبيعة الحال ، لم يكن هناك نقص في الأشخاص الذين يمكن أن يلاحظوا تغييرًا خلال هذه الفترة:
قبل عامين تقريبًا ، كتبت عنرحلته إلى عالم شهادات EV . كما هو الحال في العديد من مقالاتي ، درست هنا أثناء التنقل ؛ كنت أرغب في الخضوع لعملية شهادة EV بنفسي (قام الآخرون بذلك دائمًا من قبل) ، وأردت معرفة ما إذا كان ذلك مهمًا حقًا. في ذلك الوقت ، بصراحة لم أفهم المقالة وانتهت على هذا النحو:"من الصعب قياس كل هذه الأشياء المعتمدة من EV من حيث القيمة. ليس لدي أي فكرة عن عدد الأشخاص الذين سيتحققون من عنوان بريدهم الإلكتروني في الخدمة ، وكم التغطية الإعلامية أو التبرعات التي سيحصل عليها. عموما بدون دليل ".
بعد ذلك بعامين ، أنا مقتنع تمامًا بالاستنتاج: لا قيمة. ولكن هذا لا يعني أن هناك
عيبًا في الحصول على مثل هذه الشهادة ، فببساطة لا توجد مزايا. مع اقتراب موعد التجديد (14 ديسمبر) ، اتصلت وطلبت سحبه مقدمًا للعودة إلى إصدار Cloudflare المجاني. لا يوجد أي سبب على الإطلاق لدفع التجديد (دفعت على الفور 472 دولارًا للحصول على شهادة لمدة عامين) ، ولم يكن هناك سبب لانتظار انتهاء الصلاحية ، باستثناء
النفور من الخسائر ، ولها نفس معنى شهادات EV.
غالبًا ما تساءلت عن الهدف من الدفع للحصول على شهادات EV أو DV في عصر الشهادات المتاحة مجانًا. أقوم بزيارة العديد من الشركات حول العالم لمناقشة HTTPS ، وعندما أحاول استكشاف هذه المشكلة ، أسمع بانتظام عبارة "لم يتم فصل أحد حتى الآن لشراء IBM". كنت أبحث عن رابط جيد لشرح معنى هذه العبارة - ووجدت رابطًا ممتازًا في
تعريف FUD من ويكيبيديا :
"من خلال نشر معلومات مشكوك فيها حول أوجه القصور في المنتجات الأقل شهرة ، قد تمنع الشركة القائمة صانعي القرار من اختيار هذه المنتجات بدلاً من منتجاتهم الخاصة ، بغض النظر عن المزايا التقنية النسبية. هذه ظاهرة معترف بها تجسدها البديهية التقليدية لوكلاء الشراء التي "لم يتم فصل أحد حتى الآن لشراء معدات IBM." الهدف هو أن تشتري تقنية المعلومات برنامجًا رديئًا من الناحية التقنية لأن الإدارة العليا من المرجح أن تعترف بالعلامة التجارية ".
بمعنى آخر ، يتخذ الأشخاص قرارات غير مطلعة بشأن ما يعتبرونه "آمنًا" بسبب التسويق FUD. أظن أن الشركات التي لديها أختام أمنية لطرف ثالث على مواقعها لديها عقلية مماثلة. ليس لديهم ما يكفي من المعرفة والفهم أنه
يمكنهم بالفعل زيادة المخاطر ، ولكن لعنة ، تم الإعلان عنها بهذه
الطريقة !
إذن نعم - لم يعد هناك EV في HIBP ، ولن يشتاق إليه أحد ، وهو ما يتوافق تمامًا مع تجربة الآخرين الذين رفضوا شهادات التحقق الممتد:
"هذا الشهر ، تخلينا عن EV ، وحسّننا سرعة اتصال TLS ، ولم يقل أحد أن هناك شيئًا مفقودًا".
"في بوابة الدفع ، استبدلنا شهادة EV بـletsencrypt:
- تجديد تلقائي (بدون عملية يدوية طويلة ومعقدة ، مما يقلل من خطر انتهاء الصلاحية)
- السعر
- الناس لا يهتمون بنوع الشهادة
- تحديث في كثير من الأحيان - استرداد أسرع من حل وسط محتمل "
"أدركنا أن الناس يثقون في الشارة الخضراء أكثر من اسم شركتنا غير المألوف. التوفير مكافأة. "
"أنا لا أوافق على أن الأمر في الثمن. الهدف والعمالقة الآخرين لا يهتمون بشهادة 1000 دولار. أعتقد أنه عن الوعي. أعلم أنه قبل 18 شهرًا ، بدت شهادة EV وكأنها فكرة جيدة لموقع .org. لكن هل سأجددها؟ لا! لأنني أدركت بلا معنى ".
"لا أستطيع أن أقول ما أصبح العامل الرئيسي: 1. الحاجة إلى حرف بدل لزيادة المرونة. 2. لم تعد التكاليف مبررة ، خاصة بالنظر إلى عدة نطاقات فرعية. 3. قلة وعي المستخدم يعني أنه بالكاد لاحظ أي شخص التغييرات ".
ظهرت المقالة لفترة طويلة ، لأنه في كل مرة كنت أجلس فيها للكتابة ، كان هناك دليل جديد على عدم وجود قيمة مطلقة للمركبة الكهربائية. لقد بدأت في تدوين الملاحظات قبل وقت طويل من بعض الأحداث المدرجة ، بما في ذلك قبل إصدار Chrome 69 وإزالة شريط العناوين الأخضر ، مما أدى إلى مقتل واحدة من الأوراق الرابحة الرئيسية لتسويق EV. هذا لا يعني أن EV هي التكنولوجيا الوحيدة التي ماتت تدريجيًا من آلاف التخفيضات. ذات مرة كانت هذه الشهادات منتجًا جيدًا ، ولكنها الآن حالة مختلفة تمامًا - وهذا مجرد بقايا لا معنى لها لعصر مضى. يدرك مصنعو المتصفح هذا ويتصرفون وفقًا لذلك. إنها مسألة وقت فقط قبل أن يتم دفع الظفر الأخير في نعش EV:
يحاول Chrome Canary v70 إزالة أسماء شركات EV-SSL ، وأتساءل عما إذا كان هذا سيكون في الإصدار النهائي؟عندما يزيل Chrome أخيرًا مؤشر EV البصري من المتصفح (تمامًا كما فعلوا بالفعل على الهاتف المحمول ، ومثلما فعلت Apple في خط Safari) ، سيكون الأمر جيدًا ويضع حداً لـ EV. ربما سينتهي FUD أخيرًا.
سأقدم لكم دليلاً أخيرًا صغيرًا على عدم جدوى EV: هذه هي محاضري في لندن في وقت سابق من هذا العام. هذه هي
اللحظة التي أبدأ فيها الحديث عن EV ، والتفاعل مع الجمهور هنا هو الدلالة. شاهد كيف تتفاعل غرفة مليئة بالتقنيات الذكية عندما أسأل عن نوع المؤشرات المرئية التي يتوقعون رؤيتها على المواقع الشهيرة. استمتع بها!