Das ist alles, sagte ich es: Zertifikate der erweiterten Validierung sind tot. Natürlich können Sie sie immer noch kaufen (und einige Unternehmen werden sie Ihnen gerne verkaufen!), Aber ihr Nutzen ist jetzt von „kaum“ auf „nicht vorhanden“ gesunken. Die Änderung erfolgte unter anderem aufgrund der zunehmenden Beliebtheit mobiler Geräte und der Entfernung der visuellen EV-Anzeige aus Browsern, iOS (sowie MacOS Mojave):
Zur Veranschaulichung habe ich mich für die Comodo-Website entschieden, weil sie so verzweifelt mit dem Verkauf von Elektrofahrzeugen verbunden waren. Vor einem Monat haben sie mir einen Werbebrief mit der Überschrift "So erhalten Sie eine grüne Adressleiste für Ihre Website" gesendet. In dem Brief beginnen sie, die „alternative“ Version der Wahrheit zu sagen:
In der Tat sieht Firefox heute so aus, aber sie vergessen völlig, im Werbebrief zu erwähnen, dass dies ein rein willkürlicher visueller Indikator ist, der im Ermessen der Browserentwickler liegt. Natürlich hat Apple ihn bereits getötet, aber selbst für viele Leute auf Chrome sieht die Comodo-Website tatsächlich ganz anders aus (Chrome-Experiment):
In dem Brief heißt es, wie EV Phishing bekämpft, und Folgendes:
Durch die Anzeige eines verifizierten Firmennamens können Sie die juristische Person hinter der Website schnell identifizieren, was Phishing und Betrug erschwert.
Mit anderen Worten, wenn wir den Namen des Unternehmens sehen, führt dies zu einem höheren Vertrauensniveau, und wenn Sie diese Aussage umkehren, führt dies zu einem Vertrauensverlust, wenn wir den Namen des Unternehmens
nicht sehen, oder? Das Problem ist, dass die Leute einfach nicht
erwarten, den Namen des Unternehmens zu sehen, und es gibt eine sehr einfache, effektive Demonstration, warum dies so ist:
Zehn der größten Standorte der Welt: nirgendwo ein ElektrofahrzeugComodo überzeugt EV weiterhin von seiner Wirksamkeit und zitiert eine „aktuelle Studie“:
"Eine kürzlich von DevOps.com durchgeführte Studie ergab, dass Kunden mit einer um 50% höheren Wahrscheinlichkeit auf Websites mit einer grünen Adressleiste vertrauen und kaufen."
Sie verlinken auf eine
lange Seite im ComodoStore, und obwohl dies nirgendwo explizit angegeben ist, implizieren die Wörter, dass die Studie irgendwie unabhängig und unparteiisch war: „Devops.com hat eine Umfrage durchgeführt“ und andere ähnliche Ausdrücke. Ich
habe im Juli darüber geschrieben , aber dieser Screenshot enthält alles, was Sie über die Motive der „Umfrage“ wissen müssen:
Ich habe ehrlich versucht, den Kunden dieser Arbeit herauszufinden, indem ich zuerst an den Autor Tony Bradley schrieb und keine Antwort erhielt. Ich fragte
@TechSpective auf Twitter, wo er der Chefredakteur ist, und
@devopsdotcom (übrigens meine Anhänger), die die Umfrage veröffentlicht haben:
Am Ende wurde eine völlig offensichtliche Tatsache von Tony Bradley bestätigt. Er entschuldigte sich für die verspätete Antwort, da er sich selten bei Twitter anmeldete und den Kunden Comodo CA nannte.
Ich würde diesen Hinweis gerne im Bericht selbst sehen, da die Beteiligung von Comodo eindeutig zu Voreingenommenheit führt. Es ist, als würde ein Ölunternehmen einen Bericht bestellen, in dem festgestellt wird, dass fossile Brennstoffe nicht umweltschädlich sind, oder ein Tabakunternehmen behauptet, dass Rauchen nicht gesundheitsschädlich ist. Wenn Sie immer noch der Meinung sind, dass DevOps.com tatsächlich an den „Nutzen“ von EV-Zertifikaten glaubt, werfen Sie einen Blick auf die eigenen:
Diese Ressource wurde im Comodo-Verkaufsbrief wiederholt erwähnt, aber fahren Sie fort. Sie geben weiter an, dass Sie "die grüne Adressleiste aktivieren" können, indem Sie einfach ein EV-Zertifikat kaufen:
"Um die grüne Adressleiste auf Ihrer Site zu aktivieren, müssen Sie lediglich ein SSL Extended Validation (EV) -Zertifikat erwerben und installieren."
Nicht im beliebtesten Browser für iOS der Welt:
Und nicht in Chrome für Android, dem beliebtesten Betriebssystem der Welt:
Werfen wir einen Blick auf Microsoft Edge unter iOS und noch einmal auf dieses vorhersehbare Ergebnis:
Dies sind sehr,
sehr wichtige Screenshots, die den Wert von EV aus zwei Hauptgründen verringern. Erstens stammen
fast 2/3 aller Seitenaufrufe weltweit von Mobilgeräten . Das heißt, die obigen Screenshots zeigen die vorherrschende Ansicht, über die der Websitebesitzer nachdenken sollte. Zweitens können Unternehmen ihren Kunden daher nicht sagen, dass sie mit EV rechnen sollen, da die meisten von ihnen dies niemals sehen werden. Unabhängig davon schlägt Comodo vor, dass EV den Vorteil einer „längeren grünen Sicherheitsleiste“ hat:
"Die große grüne Sicherheitsleiste ist ein sehr klares Signal für den Benutzer, dass die Website sicher ist."
Wissen Sie, was genau ein solches Signal ist? Das grüne Symbol neben der URL in Chrome auf dem Desktop! Und wenn Sie es lesen und denken: "Warten Sie, Chrome macht das nicht mehr", dann haben Sie absolut Recht. Das Symbol fällt nicht mehr auf und es gibt kein
sicheres Wort:
Die Änderung in Chrome 69 vom 4. September betraf nicht nur DV, sondern auch Websites mit EV:
Hier möchte ich betonen, dass visuelle Indikatoren ganz im Ermessen der Browserentwickler liegen und sich im Laufe der Zeit ändern. Daher ist der Satz "So erhalten Sie eine grüne Adressleiste auf Ihrer Website" jetzt noch falscher als zu dem Zeitpunkt, als er geschrieben wurde! Tatsächlich ist die einzige mehr oder weniger genaue Darstellung von EV in diesem Brief die Anerkennung, dass Sie
das EV-Platzhalterzertifikat nicht erhalten können . Aber warte! Es gibt eine leicht zugängliche Lösung, die nur ein wenig teurer ist. Sie wird als
Multi-Domain-Zertifikat bezeichnet . Diese Standardoption für
Comodos Enterprise SSL Pro mit EV Multi-Domain spart Ihnen wirklich 5002,44 USD *:
* Hinweis: Sie müssen 9746,75 USD ausgeben, um diese Einsparungen zu erzielen
Aus Gründen der Klarheit ist dies kein Vierjahreszertifikat. Wie aus dem folgenden Text hervorgeht, begrenzen die CA / B-Forum-Regeln die maximale Gültigkeitsdauer des Zertifikats auf zwei Jahre. Danach müssen Sie den Überprüfungs- und Ausstellungsprozess manuell wiederholen. Aber verdammt noch mal, das erlaubt uns 4 Jahre lang nicht, Zertifikate zu verkaufen!
Was aber, wenn Sie das Zertifikat
nicht erneuern? Nun, du verstehst
das :
Sie könnten denken: "Nun, es ist offensichtlich, dass dies auch bei DV der Fall ist", aber es gibt Nuancen. Erstens tritt die Vernachlässigung der Zertifikatserneuerung mit alarmierender Regelmäßigkeit auf, und dies geschieht auch bei großen Leuten. Beispielsweise hat
Microsoft 2001 vergessen, Secure.microsoft.co.uk zu aktualisieren . Zu lang?
Das Zertifikat für die Azure-Domäne wurde 2013 nicht erneuert . Und natürlich hat nicht nur Microsoft solche Probleme: Zum Beispiel hat
HSBC 2008 vergessen, das Zertifikat zu erneuern, Instagram hatte vor drei Jahren eine solche Katastrophe und
LinkedIn letztes Jahr . Es gibt viele,
viele andere Beispiele, und alle machen die gleiche gemeinsame Wahrheit deutlich: Wenn es eine wichtige und sich wiederholende Aufgabe gibt, automatisieren Sie sie!
Damit komme ich zum zweiten Punkt: Die Erneuerung von Zertifikaten muss automatisiert werden, und dies können Sie einfach nicht tun, wenn eine Identitätsprüfung erforderlich ist. Mit einem DV-Zertifikat ist die Automatisierung einfach: Sie ist der Eckpfeiler von Let's Encrypt und ein wirklich wichtiges Merkmal dieses Dienstes. Ich habe vor kurzem einige Zeit mit dem Entwicklungsteam einer großen europäischen Bank verbracht, und sie haben ernsthaft darüber nachgedacht, EV aus diesem Grund aufzugeben. Nicht nur aus diesem Grund bestand immer noch das Risiko, dass sie sehr schnell ein neues Zertifikat erhalten mussten (z. B. aufgrund kompromittierter Schlüssel), was für EV viel schwieriger ist als für DV. Darüber hinaus verursachen langfristige Zertifikate aufgrund eines
fehlerhaften Widerrufsverfahrens zusätzliche Risiken, sodass schnelle Iterationen (z. B. Let's Encrypt-Zertifikate sind 3 Monate gültig) von Vorteil sind. Zertifikate, die zwei Jahre gültig sind, sind
kein Vorteil, außer um damit Geld zu verdienen ...
(Paradoxerweise ist die LinkedIn-Story unter dem obigen Link mit TheSSLStore.com verbunden, einem Zertifikatsverkäufer. Sie kennen die Risiken, bieten jedoch keine Automatisierung als Teil einer Lösung zur Erneuerung von Zertifikaten an, sondern Lösungen, die von den Zentren aus auf Unternehmensebene skaliert werden können Zertifizierungen wie Comodo, die natürlich EV vorantreiben. Let's Encrypt wird nicht erwähnt. Sie wird
lautstark dafür kritisiert, dass sie Zertifikate für Phishing-Sites ausgestellt hat (mit der korrekten Überprüfung des Domainnamens), obwohl
Comodo den gleichen Betrag ausgestellt hat !
Der Mangel an Wildcard-Unterstützung ist einer der wichtigsten
technischen Gründe, warum EV vermieden werden sollte (andere Gründe sind meist nur der gesunde Menschenverstand), und das Ausfüllen des Felds subjectAltName kann kaum als ausreichende Alternative bezeichnet werden. Beispielsweise haben wir auf unserer
Berichts-URI- Website ein Platzhalterzertifikat, sodass Sie Berichte an https: // [mein Firmenname] .report-uri.com senden können, und wir haben Hunderte solcher Subdomänen. Comodo wird diese Skala gerne unterstützen:
Neben der Tatsache, dass
Scott Helm und ich wirklich keine 808.000 US-Dollar haben, ist dies auch weit entfernt von einem echten Platzhalterzertifikat, da Sie zum Zeitpunkt der Ausstellung alle Hostnamen anstelle der dynamischen Wartung angeben müssen.
Und der letzte Punkt in diesem Marketingbrief ist das Versprechen einer Garantie:
Es verlinkt direkt auf die Seite mit super teuren Multi-Domain-EV-Zertifikaten und versucht nicht einmal, das Wesentliche der Garantie zu erklären, was etwas seltsam ist. Das ist aber verständlich, denn
niemand weiß wirklich, was eine Garantie ist und ob jemand sie mindestens einmal beantragt hat . Im Ernst - dies sollte keine leichtfertige Aussage sein, Scott und ich haben ehrlich versucht, dies zu Beginn des Jahres herauszufinden - und konnten einfach keine direkten Antworten erhalten. Als ich in einen Dialog eintreten konnte, warfen sie mir vor, „keine Nerds mehr zu haben“:
Dialog:
Andreas Mullek : Andy, diese Jungs wollen ihren Unterschied nicht zugeben - sie sind zu sehr ein Nerd, um zu verstehen, dass normale Menschen andere Bedürfnisse haben als Menschen in Nerdville. Nerdville ist genug für mich, ich kehre zurück, um mich mit den Problemen meiner Kunden aus der normalen Welt zu befassen. Bis dann.
Troy Hunt : Andreas, ich habe eine sehr vernünftige Frage gestellt und das ist wichtig, weil die Zertifikate mit einer Garantie verkauft werden und ich versuche zu verstehen, was dies bedeutet. Echte Kunden möchten wissen, was diese Garantie abdeckt, und gibt es dokumentierte Beispiele für ihre Verwendung? Kennst du sie?In jedem
Fall war dies eine sehr unerwartete Antwort von niemandem, sondern vom
CEO von
CertCentre , da er als erster die hohe Bedeutung der Zertifikatsgarantie zu schätzen scheint (vorausgesetzt, dies ist natürlich wirklich wichtig). Wenn Sie eine solche Firma für ein Produkt mit den deklarierten Funktionen bezahlen, ist es als „Nerd“ ganz normal zu fragen, wie diese Funktionen funktionieren, und dies sollte nicht zu Spott bei dem Mann führen, der diese Firma leitet. Anstatt die Frage zu beantworten, wandte Andreas leider die bewährte Straußenmethode an:
Was wirklich Fragen aufwirft, ist, dass die Garantie für Geld verkauft wird (natürlich erhalten Sie keine Garantie mit einem Let's Encrypt-Zertifikat), aber sie sind nicht bereit zu erklären, was genau Sie für Ihr Geld erhalten.
CertCentre fördert die Garantie auch aktiv als „Element höchster Sicherheit“ :
Aber Freunde, wenn Sie
das Wort "
Garantie" nicht einmal richtig
buchstabieren können, wie
hoch sind dann die tatsächlichen Chancen, zu verstehen, was es tut?!
Ein weiterer Nagel im EV-Sarg ist
Scott Alexas Halbjahresbericht Top 1M vom letzten Monat. Es bietet ermutigende Statistiken zum Übergang von Websites von HTTP zu HTTPS:
HTTPS-Sites machen bereits 52% aus, was für das Internet insgesamt sehr gut ist. Aber ich war an einem solchen Kommentar zu EV interessiert:
"Trotz des starken Wachstums von HTTPS an den ersten Millionen Standorten steigt der Anteil der EV-Zertifikate nicht an."
In Zahlen: Im Februar leiteten 366 005 Sites HTTP-Anforderungen an HTTPS um, und 19 802 von ihnen verwendeten EV-Zertifikate, was 5,41% der HTTPS-Sites entspricht. Im August wurden 489.293 an HTTPS weitergeleitet, und 25.158 von ihnen hatten EV-Zertifikate, was 5,14% entspricht. Mit anderen Worten, der Marktanteil von Elektrofahrzeugen ging um etwa 5% zurück.
(Hinweis: 489.293 machen tatsächlich 52% der millionsten Stichprobe aus, da 47.000 Websites nicht gescannt und von der Statistik ausgeschlossen wurden.)
Es stellt sich heraus, dass viele Standorte EV-Zertifikate tatsächlich
ablehnen . Vor einem Monat stellte
Scott eine detaillierte Liste der wichtigsten Standorte zur Verfügung, an denen zuvor EV eingesetzt wurde : Shutterstock, Target, UPS und die britische Polizei. Etwa zur gleichen Zeit
bemerkte ich, dass sogar Twitter EV aufgab.
Die Twitter-Geschichte ist etwas seltsam, weil Sie tatsächlich sehen können, ob sie je nach Standort ein EV-Zertifikat auf ihrer Website haben oder nicht. Dies sagt auch etwas über die Effektivität von EV aus: Wenn sie bereit sind, es zu entfernen oder hinzuzufügen, ist es unwahrscheinlich, dass sich Menschen anders verhalten und einer Site ohne EV weniger vertrauen. Aber das ist das Fundament, auf dem die EV-Mechanik aufgebaut ist!
Nicht nur Comodo und CertCentre führen Desinformationskampagnen durch, sondern auch viele andere, zum Beispiel:
Zusätzlich zur Auswahl historischer Browser (wie alt ist dieses Bild ?!) Wird im
Artikel die folgende Aussage
durch Bezugnahme gemacht :
"Web-Sicherheitsexperten empfehlen die Verwendung des EV-SSL-Zertifikats für Plattformen wie E-Commerce, Banken, soziale Medien, Gesundheitswesen, Behörden und Versicherungen."
Ich bin mir nicht sicher, auf wen sie sich in den ersten Worten beziehen, aber ich weiß, dass diese Aussage, abgesehen von Banken, einfach kein Wasser für andere Branchen enthält. Es ist leicht zu demonstrieren, wie grundlegend falsch es ist.
Hier finden Sie die
weltweit größten E-Commerce-Websites . Klicken Sie auf jedes und überprüfen Sie, ob sie EV haben:
- Amazon
- Netflix
- eBay
Sie können sagen, dass Alexa Netflix fälschlicherweise als E-Commerce-Website klassifiziert hat. Schauen
Sie sich dann
walmart.com an, die nächstbeliebteste, und
erzielen Sie das gleiche Ergebnis. Nirgendwo ist EV.
Wir gehen weiter. Bei
Social Media ist die Situation dieselbe :
- Facebook
- Twitter
- LinkedIn
Wie bereits erwähnt, hat Twitter eine leichte Identitätskrise in Bezug auf die Unterstützung von EV. Überprüfen Sie daher die viertgrößte Website auf Treue:
Pinterest .
Auf den
weltweit beliebtesten Websites im
Gesundheitswesen gilt Folgendes:
- Nationales Institut für Gesundheit
- Webmd
- Mayo-Klinik
Kein EV. Im Allgemeinen. Keine einzige Sache.
Ich konnte keine eindeutige Liste der größten Regierungswebsites finden, daher habe ich die Daten aus
Scotts Alexa Top 1M-Nachtcrawl abgerufen und die größten Websites in der .gov-Zone ausgewählt. Das National Institute of Health ist das größte, aber wir haben es bereits untersucht, daher nehmen wir die folgenden drei:
- India Unique Identification Agency (die andere grundlegende Probleme mit der HTTPS-Unterstützung hat )
- Finanzamt von Indien
- GOV.UK
Inzwischen haben Sie bereits erkannt, dass die Chance, EV zu treffen, zumindest minimal ist. Sie haben Recht - kein einziger Treffer.
Schließlich die
Top-Versicherungsseiten :
- United Services Automobile Association
- Kaiser permanente
- Geico
Wir haben einen gefunden! USAA hat wirklich ein EV-Zertifikat! Die anderen beiden nicht, aber es ist zumindest etwas, oder?
Wenn „Web-Sicherheitsexperten“ EV für diese Klassen von Websites empfehlen, hören diese Websites diese offensichtlich nicht an. Solche Empfehlungen sind also poetischer Natur.
Eine weitere unbegründete Behauptung über SSL ist, dass EV "die Konvertierung von Transaktionen erhöht", "die Abweichung vom Einkaufswagen verringert" und "vor Phishing-Angriffen schützt". Sie können verstehen, warum sie solche Aussagen machen: Der Grund ist in Form von Schaltflächen direkt unter dem Text sichtbar:
Also kehrten wir wieder zu einer klaren Tendenz zurück. Aber hey, sie versuchen nur, Geschäfte zu machen, also verstehe ich die Motive. Wir können auch davon ausgehen, dass sie selbst ein solches Unternehmen gründen möchten, um die Conversion zu steigern, oder? Nun, das ist lustig:
Sogar der EV-Verkäufer selbst ist klug genug, kein Geld dafür auszugeben! Darüber hinaus erinnern wir uns, dass die "grüne Adressleiste" selbst jetzt dank des beliebtesten Browsers der Welt, der sie in Version 69 getötet hat, vollständig verschwunden ist.
Es gibt einen Streit mit Phishing. Es wird oft behauptet, dass EV es irgendwie reduziert. Genau das steht auf der Folie aus der Präsentation von Entrust vom Anfang dieses Jahres:
Es gibt eine ganze Reihe von Betrugsfällen, und zur Analyse ist es am besten,
diesen Thread von Ryan Slevy zu lesen. Er analysierte die
Studie, auf der die Folie basiert.
Ryan ist ein sehr kluger Kryptograf, der an Chrom arbeitet, und er hat eine ausgezeichnete Fähigkeit, jeden Unsinn klarem Wasser auszusetzen. Am Ende
fasst er die Situation zusammen : „Im Allgemeinen ist dies ein schlechter Artikel. Schlimmer noch, sie versuchen, sie als "datengetriebene" Forschung auszugeben. Sie verwenden eine fehlerhafte Methodik und einen selektiven Ansatz, um ein Geschäftsmodell zu unterstützen, das auf Benutzern beruht, die allein für die Erkennung von Änderungen an der Benutzeroberfläche verantwortlich sind. “
Das heißt, wir kehren zu der Tatsache zurück, dass EV nur dann wirksam ist, wenn Menschen ihr Verhalten aufgrund einer Änderung der Benutzeroberfläche ändern. In Wirklichkeit wissen die Menschen nicht, worauf sie achten sollen, und diese Veränderung selbst hört im Allgemeinen allmählich auf zu existieren. Oder die Änderung ist zu unbedeutend, als dass die Leute darauf achten könnten. Erinnern Sie sich an den ersten Screenshot in dem Artikel, in dem der Safari-Browser den registrierten Firmennamen nicht mehr im EV-Zertifikat anzeigt? Vergleichen Sie es mit einem Screenshot meines Blogs, der auch in Safari unter iOS 12 geöffnet ist:
Sehen Sie den Unterschied? Die URL der EV-Site und das Schloss daneben sind jetzt grün, während die DV-Site schwarz ist. Um eine angemessene Erwartung für die Benutzer zu schaffen, müssen sie diese anweisen, nach
grünen URLs und einer Sperre zu suchen ... es sei denn, sie verwenden Chrome, wodurch im Allgemeinen alle grünen Elemente gelöscht werden! Es ist natürlich lächerlich, den Benutzern solche Nuancen im Browser zu erklären, insbesondere angesichts der Geschwindigkeit ihrer Änderung.
Zurück zur Website "Über SSL" gibt es ein solches Video, in dem ein Redner die Vorzüge von EV an denselben Punkten erklärt, die wir überprüft haben. Video für ca. 6 Minuten, wenn Sie die Geduld haben, es anzuschauen:Wir können zum Beispiel direkt auf das Interessante eingehen , wenn der Moderator (und der Produktmarketing-Manager von Comodo ) über die Kritikalität von EV für eine Finanztransaktion sprechen:„Im kritischsten Moment, wenn sie sich für eine Transaktion entscheiden, gibt dieser auffällige visuelle Indikator (grüne Linie EV) mit Informationen, die den Firmennamen, den Standort und die Zertifizierungsstelle bestätigen, das notwendige Vertrauen, um eine Entscheidung zu treffen.“
Die These wird durch einen Screenshot der Excalibur Cutlery & Gifts- Website untermauert : Sie haben
wahrscheinlich bereits das Gefühl, dass es so sein wird ... und Sie haben Recht:
Kein EV. Überhaupt kein kommerzieller DV, aber ein ganz normales kostenloses Let's Encrypt-Zertifikat. Das Video ist wie aus einer archaischen Zeit: Darin werden Websites in IE8 unter Windows XP geöffnet ... Ich kann nichts tun, aber es besteht das Gefühl, dass die Situation etwas ... veraltet ist. Es stellte sich heraus, dass es so ist:
Ich würde das Video vor fast zehn Jahren nicht aus heutiger Sicht bewerten, aber dort werden die gleichen Thesen ausgedrückt wie heute. Und natürlich wird auf einen Artikel mit diesem Video durch einen Tweet verwiesen, der vor einem Monat unter dem Deckmantel eines „wichtigen Leitfadens für ein erweitertes SSL-Verifizierungszertifikat“ veröffentlicht wurde. Alles ist also fair.Dies ist nicht das erste Mal, dass Comodo EV-Websites verwendet, um für EV zu werben, die kein EV haben. Zuletzt zeigte mir jemand einen Brief von Comodo, der mich an die Erneuerung der Domain erinnerte:
Natürlich interessierte er sich für Mostlydead.com und wollte sehen, wie die „20% Umsatzsteigerung“ vor sich ging (laut Ken Crease). Nun, Sie verstehen, weil EV "das Vertrauen der Verbraucher erhöht". Es scheint nichts weiter zu sein:
Je mehr Sie sich mit dem Thema befassen, desto mehr sind Sie davon überzeugt, dass EV ... fast tot ist. Schließlich ist dies nicht nur eine zufällige Site, die von EV zu DV gewechselt ist. Dies ist eine Website, die speziell ausgewählt wurde, um den Wert von EV zu demonstrieren! Es sollte ein Beispiel für den Wert von EV sein, und Comodo hat es bis heute angepriesen. Wir sehen jedoch, dass Ken Crease seine Meinung über die Wirksamkeit von EV eindeutig geändert hat (und vielleicht hatte er nie eine solche Meinung).Die Situation mit EV sieht allmählich so aus:
Aber wir sind noch nicht fertig: Ich möchte eine andere Site erwähnen, die früher ein EV-Zertifikat hatte und jetzt zu DV zurückgekehrt ist. Dies ist die Site:
Anmerkung des Übersetzers: TIB Hunt hat die HIBP-Site mit der Datenbank gestohlener Konten gestartet.Ich habe das Zertifikat vorgestern geändert, und bisher hat es noch niemand erwähnt. Niemand. Keine einzige Seele, aber mein Publikum kennt sich in solchen Dingen viel besser aus als ein durchschnittlicher Benutzer. Natürlich gab es in dieser Zeit keinen Mangel an Menschen, die eine Veränderung feststellen konnten:
Vor fast zwei Jahren schrieb ich darüberseine Reise in die Welt der EV-Zertifikate . Wie in vielen meiner Artikel habe ich hier unterwegs studiert; Ich wollte den EV-Zertifizierungsprozess selbst durchlaufen (andere haben dies schon immer getan) und ich wollte sehen, ob es wirklich wichtig ist. Zu dieser Zeit verstand ich den Artikel ehrlich gesagt nicht und beendete ihn wie folgt:„All diese EV-zertifizierten Dinge sind schwer wertmäßig zu messen. Ich habe keine Ahnung, wie viele weitere Personen ihre E-Mail-Adresse im Service überprüfen, wie viel mehr Medienberichterstattung oder Spenden er erhalten wird. Im Allgemeinen ohne eine Ahnung. “
Zwei Jahre später bin ich von der Schlussfolgerung ziemlich überzeugt: Es gibt keinen Wert. Dies bedeutet jedoch nicht, dass ein solches Zertifikat einen
Nachteil hat, es gibt einfach keine Vorteile. Kurz vor dem Erneuerungsdatum (14. Dezember) rief ich an und bat darum, es im Voraus zurückzuziehen, um zur kostenlosen Cloudflare-Version zurückzukehren. Es gibt absolut keinen Grund, für die Verlängerung zu bezahlen (ich habe sofort 472 USD für ein zweijähriges Zertifikat bezahlt), und es gab keinen Grund, auf den Ablauf zu warten, außer auf die
Abneigung gegen Verluste , und es hat die gleiche Bedeutung wie EV-Zertifikate.
Ich habe mich oft gefragt, wozu man in Zeiten frei verfügbarer Zertifikate für EV- oder DV-Zertifikate bezahlen soll. Ich besuche viele Unternehmen auf der ganzen Welt, um über HTTPS zu diskutieren, und wenn ich versuche, dieses Problem zu untersuchen, höre ich regelmäßig den Satz "Noch wurde niemand für den Kauf von IBM entlassen". Ich suchte nach einem guten Link, um die Bedeutung dieses Satzes zu erklären - und fand einen ausgezeichneten in der
Definition von FUD aus Wikipedia :
„Durch die Verbreitung zweifelhafter Informationen über die Mängel weniger bekannter Produkte kann ein etabliertes Unternehmen Entscheidungsträger daran hindern, diese Produkte anstelle ihrer eigenen zu wählen, unabhängig von den relativen technischen Vorzügen. Dies ist ein anerkanntes Phänomen, das durch das traditionelle Axiom der Einkäufer verkörpert wird, dass "noch niemand für den Kauf von IBM-Geräten entlassen wurde". Ziel ist es, dass die IT technisch minderwertige Software kauft, da das Top-Management die Marke eher erkennt. “
Mit anderen Worten, Menschen treffen uninformierte Entscheidungen darüber, was sie aufgrund der Marketing-FUD als „sicher“ betrachten. Ich vermute, dass Unternehmen mit Sicherheitssiegeln von Drittanbietern auf ihren Websites eine ähnliche Mentalität haben. Sie haben nicht genug Wissen und Verständnis,
um die Risiken tatsächlich zu erhöhen , aber verdammt, sie wurden so beworben!
Also ja - es gibt kein EV mehr auf HIBP und niemand wird ihn vermissen, was voll und ganz mit der Erfahrung anderer übereinstimmt, die Zertifikate für eine erweiterte Validierung abgelehnt haben:
"Diesen Monat haben wir EV aufgegeben, die TLS-Handshake-Geschwindigkeit verbessert und keiner hat gesagt, dass etwas fehlt."
„Auf dem Zahlungsportal haben wir das EV-Zertifikat durch @letsencrypt ersetzt:
- automatische Verlängerung (ohne langen und komplizierten manuellen Vorgang, wodurch das Ablaufrisiko verringert wird)
- Preis
- Menschen interessieren sich nicht für die Art des Zertifikats
- häufiger aktualisieren - schnellere Wiederherstellung nach möglichen Kompromissen "
„Wir haben festgestellt, dass die Leute dem hübschen grünen Abzeichen mehr vertrauen als unserem unbekannten Firmennamen. Sparen ist ein Bonus. “
„Ich stimme nicht zu, dass die Angelegenheit im Preis ist. Target und die anderen Giganten interessieren sich nicht für 1.000 US-Dollar für ein Zertifikat. Ich denke, es geht um Bewusstsein. Ich weiß, dass vor 18 Monaten ein EV-Zertifikat eine gute Idee für meine .org-Site war. Aber werde ich es erneuern? Nein! Weil ich ihre Sinnlosigkeit erkannt habe. "
"Ich kann nicht sagen, was der Hauptfaktor wurde: 1. Die Notwendigkeit eines Platzhalters, um die Flexibilität zu erhöhen. 2. Kosten sind nicht mehr zu rechtfertigen, insbesondere unter Berücksichtigung mehrerer Subdomains. 3. Mangelndes Bewusstsein der Benutzer bedeutet, dass kaum jemand die Änderungen bemerkt hat. "
Der Artikel kam lange heraus, denn jedes Mal, wenn ich mich zum Schreiben hinsetzte, gab es neue Beweise für die absolute Sinnlosigkeit von EV. Ich habe lange vor einigen der aufgelisteten Ereignisse angefangen, mir Notizen zu machen, einschließlich vor der Veröffentlichung von Chrome 69 und der Entfernung der grünen Adressleiste, die eine der wichtigsten Trümpfe des EV-Marketings tötete. Dies bedeutet nicht, dass EV die einzige Technologie ist, die nach und nach an tausend Schnitten gestorben ist. Früher waren solche Zertifikate ein gutes Produkt, jetzt aber eine ganz andere Situation - und dies ist nur ein bedeutungsloses Relikt einer vergangenen Ära. Browserhersteller sind sich dessen bewusst und handeln entsprechend. Es ist nur eine Frage der Zeit, bis der letzte Nagel in den EV-Sarg geschlagen wird:
Chrome Canary v70 versucht, EV-SSL-Firmennamen zu entfernen. Ich frage mich, ob dies in der endgültigen Version sein wird.Wenn Chrome die visuelle EV-Anzeige endgültig aus dem Browser entfernt (genau wie bereits auf Mobilgeräten und wie Apple in der Safari-Reihe), ist dies in Ordnung und beendet EV wirklich. Vielleicht endet dann FUD endlich.
Ich werde Ihnen einen letzten kleinen Beweis für die absolute Sinnlosigkeit von EV geben: Dies ist mein Vortrag in London Anfang dieses Jahres. Dies ist der
Moment, in dem ich anfange, über EV zu sprechen, und es ist die Interaktion mit dem Publikum hier, die bezeichnend ist. Sehen Sie, wie ein Raum voller intelligenter Techniker reagiert, wenn ich frage, welche visuellen Indikatoren sie auf beliebten Websites erwarten. Genieße es!