في الإصدارات الجديدة من Chrome 77 و Firefox 70 (ستصدر في 22 أكتوبر) ،
فقدت شهادات EV مع التحقق الموسع
مكانها المعتاد في شريط العناوين . الآن ، للوهلة الأولى ، لا تختلف عن شهادات DV العادية التي تحقق من صحة المجال. يتم الكشف عن معلومات إضافية حول الشركة فقط عن طريق الضغط على أيقونة القفل ، ولكن ليس في شريط العنوان.
هذا هو ما تبدو عليه معلومات شهادة SSL SSL في Firefox 70يسر نقاد الصناعة
أن "التجارة الجوية" ستتوقف . لكن أمناء السجلات أنفسهم يعتقدون أن EV SSL من المبكر جدًا دفنه.
شهادات التحقق المتقدمة
شهادة التحقق من الصحة الممتدة (التحقق من الصحة الموسعة ، EV) - نوع من شهادة HTTPS تقوم بموجبه سلطة التصديق بإجراء عملية تحقق إضافية لمالك المجال من خلال ربط المجال بالكيان القانوني. يمكن أن يستغرق الإجراء نفسه ما يصل إلى أسبوعين. على غرار معايير "
اعرف عميلك" المصرفية ، يتم التحقق من عنوان ورقم هاتف الشركة. ثم يتم تضمين هذه المعلومات في الشهادة والتحقق منها بواسطة توقيع رقمي من سلطة التصديق.
CN = www.bankofamerica.com
الرقم التسلسلي = 2927442
2.5.4.15 = منظمة خاصة
يا = بنك أوف أمريكا
1.3.6.1.4.1.311.60.2.1.2 = ديلاوير
1.3.6.1.4.1.311.60.2.1.3 = الولايات المتحدة
لام = شيكاغو
S = إلينوي
ج = الولايات المتحدة
تؤكد شهادات DV العادية ببساطة أن المالك يتحكم في المجال المحدد في الشهادة. في الوقت نفسه ، لا تملك سلطة إصدار الشهادات أدنى فكرة تمتلك المجال ولا يمكنها الاتصال به:
CN = whoami.com
هذه في الواقع شهادات مجهولة المصدر ، مفيدة فقط لتشفير حركة المرور عبر HTTPS. إنها لا تشير إلى سلامة الموقع بأي شكل من الأشكال: يمكن لأي شخص الحصول على هذه الشهادة من خلال إجراء تلقائي.
في السابق ، كانت معظم المتصفحات تعرض اسم الكيان القانوني والاختصاص القضائي مباشرةً في شريط العناوين ، بجوار عنوان URL ، كما هو موضح في الرسم التوضيحي أدناه.
واجهة المستخدم السابقة لعرض شهادات EV في متصفحات Firefox و Safari و Chromeكان Safari أول من تخلى عن هذه الممارسة. لقد توقف عن عرض اسم الكيان القانوني ، وبحضور شهادة EV ، يتحول المجال ببساطة إلى اللون الأخضر. ثم تغيرت واجهة كروم.
كروم 76
كروم 77في 22 أكتوبر 2019 ، تم التخطيط للإصدار الأخير من Firefox 70 بنفس التغيير.
Firefox 69
فايرفوكس 70تجدر الإشارة إلى أن
إرشادات CA / Browser Forum لـ EV (القسم 2) تشير بالتحديد إلى أن الغرض الرئيسي من شهادات EV هو إعلام المستخدمين بالتحديد القانوني للنشاط التجاري الذي يتفاعلون معه من خلال موقع الويب. الهدف الثانوي هو مكافحة التصيد الاحتيالي وأنواع أخرى من أنشطة الويب الضارة.
لماذا قامت المتصفحات بإزالة مؤشر EV SSL
السبب الرئيسي هو رغبة المطورين في تحسين واجهة المتصفح ، نظرًا لأن شريط العناوين الطويل لا يناسب شاشات الأجهزة المحمولة. ومع ذلك ، لم يتمكنوا من التضحية بالأمن من أجل الراحة. بدأت Google في دراسة خاصة ، استنتجت أن رفض EV لا يزال لا يقلل من الأمان. أشعلت هذه الدراسة ضوءًا أخضر قبل تغيير واجهة المستخدم ، والتي كان مطلوبًا من قِبل مطوري الواجهة لراحة المستخدم.
هذه
دراسة قام بها خبراء تصميم وأمن واجهة Google (مجموعة Chrome Security UX). وخلصوا إلى أن "EV UI لا يوفر حماية المستخدم بشكل صحيح."
تلاحظ Google أن "شارة EV تشغل مساحة شاشة قيمة ، ويمكنها عرض أسماء شركات مزيفة في واجهة المستخدم ، وتمنع Chrome من التحرك نحو إشارة محايدة وليست إيجابية من الاتصالات الآمنة." وفقًا لمنطق خبراء Chrome Security UX ، فإن وجود خط مع شهادة EV مؤشر إيجابي على TLS ، في حين أن الإشارة المحايدة تكون أكثر فعالية من حيث التأثير على المستخدمين. لذلك ، في المستقبل ، سيتم حرمان المواقع ذات HTTPS من أيقونة "القفل" ، وبالنسبة للمواقع التي لا تحتوي على HTTPS ، سيتم عرض تحذير أمان. سيشجع ذلك جميع المواقع على تثبيت شهادات طبقة المقابس الآمنة.
لاحظت دراسة جوجل نقاط الضعف في شهادات EV:
- لا تضمن EV أن الشركة التي تم التحقق منها لا تنتهك القانون ، وتؤدي أعمالًا تجارية صادقة ، وأنها آمنة حقًا وجديرة بالثقة.
- EVs لا تحمي من الخداع لأن المستخدمين لا يقرؤونهم. على وجه الخصوص ، لا يهتمون برمز البلد الخاص بالشركة التي تم تسجيل شهادة EV الخاصة بها ، والتي يمكن استخدامها للاحتيال.
خريطة حرارة لتوزيع انتباه مستخدمي Chrome عند إظهار شهادات EV مع ولايات قضائية مختلفة ، من دراسة لمجموعة Chrome Security UX
- يمكن للمهاجمين الحصول على شهادة EV لشركة لها اسم مماثل.
- يكون الاسم القانوني للشركة مضللاً في بعض الأحيان ، ولا يتزامن مع اسم الموقع. على سبيل المثال ، لدى خدمة التمويل الشخصي mint.com شهادة EV صادرة عن شركة Intuit Inc.
ما يعطي فحص ممتد
يعتبر مجلس أمن CA أنه من الخطأ إزالة EV من شريط العناوين. توفر المنظمة التي تجمع عددًا من المراجع المصدقة الرائدة
الأسباب التالية:
1. لا يمكن إلا لشهادة EV أن تؤكد أن الموقع ينتمي إلى شركة معينة . لا يمكن حماية بيانات المستخدم السرية إذا كنا لا نعرف الشركة التي تملك المجال.
2. الحماية ضد الخداع . تشير الدراسات إلى أن المهاجمين يستخدمون شهادات DV بنشاط ، ويطلبونها بالآلاف مجانًا من خلال إجراء مجهول تلقائيًا.
نتيجة لذلك ، تحول التصيد الاحتيالي إلى شهادات DV. أصدر مكتب التحقيقات الفيدرالي بالفعل
تحذيرًا بأنه يجب على المستخدمين ألا يثقوا في رمز قفل HTTPS أو المؤشر الأخضر في المستعرض ، حيث أن
نصف مواقع التصيد تظهر مثل هذا المؤشر .
في الوقت نفسه ، يصعب على المحتالين الحصول على شهادة EV.
فيما يلي نتائج دراسة 3494 موقعًا للتصيد مع شهادات طبقة المقابس الآمنة في فبراير 2019:
- EV: 0 مواقع للتصيد (0٪)
- OV: 145 موقعًا للتصيد الاحتيالي (4.15٪) ، ومعظمها شهادات متعددة المجالات لشبكات CDN مثل Cloudflare
- DV: 3349 موقع للتصيد الاحتيالي (95.85٪)
لا يمكن لمرشحات مكافحة التجسس في المستعرض مواجهة هذا التهديد. أظهرت دراسة أجرتها NSS Labs في أكتوبر 2018 أن التصفح الآمن من Google منذ البداية
يتعرف على 79٪ فقط من مواقع التصيد الاحتيالي . ترتفع هذه النسبة إلى 95٪ خلال يومين ، ولكن بحلول هذا الوقت تتوقف معظم هذه المواقع عن العمل ، بعد أن أكملت مهمتها.
3. يعتبر مجلس أمن CA فرضية Google بأنه من الممكن رفض مؤشر EV على أساس أن المستخدمين لا يعتبرونه مؤشر أمان إيجابي
كخطأ . أولاً ، لا يزال المزيد من المستخدمين المؤهلين يعرفون الفرق في أنواع الشهادات. ثانياً ، سيكون من المفيد بذل جهود لإبلاغ المستخدمين الأقل تأهيلاً الذين لا يفهمون الاختلافات بين DV و EV. ثالثًا ، يعتمد تصور المستخدم على السياق:
لا يلاحظ الأشخاص تدابير بسيطة مثل حزام الأمان في السيارة في ظروف مريحة عادية ، لكن هذا ليس سببًا لرفض حزام الأمان.
4. لا يكفي الاعتماد فقط على عناوين URL للتصيد الاحتيالي. حتى دراسة Google تشير إلى أن المستخدمين يواجهون مشكلة في تحليل عناوين URL وغالبًا لا يلاحظون الأخطاء والأخطاء المطبعية على مواقع التصيد. في الوقت نفسه ، لا يتطلب مؤشر EV تحليل URL.
يعتقد مجلس الأمن CA أن أوجه القصور في شهادات EV الحالية هي ذريعة للعمل على تحسينها ، وليس سببا للرفض. تشير الإحصاءات إلى أن شهادة EV تزيل أفضل مواقع التصيد. لاستخدامه بفعالية ، يجب أن توافق المتصفحات على
عرض قياسي ، كما قال مجلس الأمن ، مستشهداً مرة أخرى بقياس من عالم السيارات: إذا كانت علامة التوقف مختلفة من بلد إلى آخر ومن دولة إلى أخرى ، ولم يفهم السائقون معناها ، فهذا ليس سببًا إزالة علامات التوقف من جميع الطرق لأنها غير فعالة.
على الرغم من التغييرات المرئية في المتصفحات ، لا يزال EV مؤشر أمان موثوق. لا يزال يؤكد صحة الكيان القانوني ، والآن انتقلت هذه المعلومات إلى مكان آخر. سيتعين على المستخدمين النقر على أيقونة القفل لرؤية هذه المعلومات.
لذلك كانت الشائعات حول وفاة شهادات EV سابقة لأوانها. من المحتمل أن يفهم خبراء الأمن والمصممين المشكلة ويقومون بضبط الواجهات. الآن تتم مناقشة هذه المشكلة مع مطوري المتصفح.
