In den neuen Versionen von Chrome 77 und Firefox 70 (erscheint am 22. Oktober) haben EV-Zertifikate mit erweiterter Überprüfung ihren gewohnten Platz in der Adressleiste verloren . Auf den ersten Blick unterscheiden sie sich nicht von normalen DV-Zertifikaten, die eine Domain validieren. Zusätzliche Informationen über das Unternehmen werden nur durch Drücken des Schlosssymbols angezeigt, nicht jedoch in der Adressleiste.


So sehen die SSL-SSL-Zertifikatinformationen in Firefox 70 aus

Branchenkritiker freuen sich, dass der "Lufthandel" aufhören wird . Aber Registrare selbst glauben, dass EV SSL zu früh ist, um es zu begraben.

Erweiterte Validierungszertifikate

Erweitertes Validierungszertifikat (Extended Validation, EV) - Ein Typ eines HTTPS-Zertifikats, bei dem eine Zertifizierungsstelle eine zusätzliche Überprüfung eines Domaininhabers durch Verknüpfung der Domain mit einer juristischen Person durchführt. Der Eingriff selbst kann bis zu zwei Wochen dauern. Ähnlich wie bei den Bankstandards von Know Your Client werden die Adresse und die Telefonnummer des Unternehmens überprüft. Diese Informationen werden dann in das Zertifikat eingebettet und durch eine digitale Signatur der Zertifizierungsstelle überprüft.

  CN = www.bankofamerica.com
 SERIALNUMMER = 2927442
 2.5.4.15 = Private Organisation
 O = Bank of America Corporation
 1.3.6.1.4.1.311.60.2.1.2 = Delaware
 1.3.6.1.4.1.311.60.2.1.3 = US
 L = Chicago
 S = Illinois
 C = US 

Normale DV-Zertifikate bestätigen lediglich, dass der Eigentümer die im Zertifikat angegebene Domäne kontrolliert. Gleichzeitig hat die Zertifizierungsstelle keine Ahnung, wem die Domain gehört, und kann sie nicht kontaktieren:

  CN = whoami.com 

Dies sind eigentlich anonyme Zertifikate, die nur zum Verschlüsseln des Datenverkehrs über HTTPS nützlich sind. Sie geben in keiner Weise Aufschluss über die Sicherheit der Website: Jeder kann ein solches Zertifikat durch ein automatisiertes Verfahren erhalten.

Bisher haben die meisten Browser den Namen der juristischen Person und der Gerichtsbarkeit direkt in der Adressleiste neben der URL angezeigt, wie in der folgenden Abbildung dargestellt.


Vorherige Benutzeroberfläche zum Anzeigen von EV-Zertifikaten in Firefox-, Safari- und Chrome-Browsern

Safari war der erste, der diese Praxis aufgab. Er hat aufgehört, den Namen der juristischen Person anzuzeigen, und bei Vorhandensein eines EV-Zertifikats wird die Domain einfach grün. Dann änderte sich die Chrome-Oberfläche.


Chrome 76


Chrome 77

Am 22. Oktober 2019 ist die endgültige Version von Firefox 70 mit derselben Änderung geplant.


Firefox 69


Firefox 70

Es ist zu beachten, dass die Richtlinien des CA / Browser-Forums für Elektrofahrzeuge (Abschnitt 2) ausdrücklich darauf hinweisen, dass der Hauptzweck von Elektrofahrzeugzertifikaten darin besteht, Benutzer über die rechtliche Identifizierung des Unternehmens zu informieren, mit dem sie über die Website interagieren. Das sekundäre Ziel ist die Bekämpfung von Phishing und anderen böswilligen Arten von Webaktivitäten.

Warum Browser die EV SSL-Anzeige entfernt haben

Der Hauptgrund ist der Wunsch der Entwickler, die Browser-Oberfläche zu optimieren, da die lange Adressleiste nicht auf die Bildschirme mobiler Geräte passt. Sie konnten jedoch die Sicherheit nicht aus Bequemlichkeitsgründen opfern. Google hat eine spezielle Studie initiiert, auf deren Grundlage festgestellt wurde, dass die Ablehnung von Elektrofahrzeugen die Sicherheit immer noch nicht beeinträchtigt. Diese Studie gab grünes Licht, bevor die Benutzeroberfläche geändert wurde, was von den Schnittstellenentwicklern aus Gründen der Benutzerfreundlichkeit benötigt wurde.

Dies ist eine Studie von Googles Experten für Schnittstellendesign und Sicherheit (Chrome Security UX-Gruppe). Sie kamen zu dem Schluss, dass „die EV-Benutzeroberfläche den Benutzerschutz nicht ordnungsgemäß bietet.“

Google stellt fest, dass "das EV-Abzeichen wertvollen Platz auf dem Bildschirm einnimmt, gefälschte Firmennamen in der Benutzeroberfläche anzeigen kann und Chrome daran hindert, sich eher einer neutralen als einer positiven Anzeige sicherer Verbindungen zuzuwenden." Nach der Logik von Chrome Security UX-Experten ist eine Zeile mit einem EV-Zertifikat ein positiver Hinweis auf TLS, während ein neutraler Hinweis hinsichtlich der Auswirkungen auf Benutzer effektiver ist. Daher wird Websites mit HTTPS in Zukunft das Schlosssymbol entzogen, und für Websites ohne HTTPS wird eine Sicherheitswarnung angezeigt. Dadurch werden alle Standorte aufgefordert, SSL-Zertifikate zu installieren.

In einer Google-Studie wurden die Schwächen von EV-Zertifikaten festgestellt:

• EV garantiert nicht, dass das verifizierte Unternehmen nicht gegen das Gesetz verstößt, ein ehrliches Geschäft führt, dass es wirklich sicher und vertrauenswürdig ist.
  
• Elektrofahrzeuge schützen nicht vor Phishing, da Benutzer sie nicht ansehen. Insbesondere beachten sie nicht den Ländercode des Unternehmens, für den das EV-Zertifikat registriert ist, der für Betrug verwendet werden kann.
  
  
  Heatmap der Verteilung der Aufmerksamkeit von Chrome-Nutzern beim Nachweis von EV-Zertifikaten mit unterschiedlichen Gerichtsbarkeiten aus einer Studie der Chrome Security UX-Gruppe
  
• Angreifer können ein EV-Zertifikat für ein Unternehmen mit einem ähnlichen Namen erhalten.
  
• Der rechtliche Name des Unternehmens ist manchmal irreführend und stimmt nicht mit dem Namen der Website überein. Beispielsweise verfügt der persönliche Finanzdienst von mint.com über ein EV-Zertifikat, das von Intuit Inc. ausgestellt wurde.

Was gibt einen erweiterten Scheck

Der CA-Sicherheitsrat hält es für einen Fehler, EV aus der Adressleiste zu entfernen. Eine Organisation, die eine Reihe führender Zertifizierungsstellen zusammenbringt, bringt folgende Gründe mit :

1. Nur ein EV-Zertifikat kann bestätigen, dass eine Site zu einem bestimmten Unternehmen gehört . Es ist nicht möglich, die vertraulichen Benutzerdaten zu schützen, wenn wir nicht wissen, welchem ​​Unternehmen die Domain gehört.

2. Schutz vor Phishing . Studien zeigen, dass Angreifer DV-Zertifikate aktiv nutzen und sie über ein automatisiertes anonymes Verfahren zu Tausenden kostenlos bestellen.

Infolgedessen wurde Phishing massiv auf DV-Zertifikate umgestellt. Das FBI hat bereits eine Warnung ausgegeben, dass Benutzer dem HTTPS-Schlosssymbol oder der grünen Anzeige im Browser nicht vertrauen sollten , da die Hälfte der Phishing-Sites eine solche Anzeige anzeigt .

Gleichzeitig ist es für Betrüger schwierig, ein EV-Zertifikat zu erhalten.



Hier sind die Ergebnisse einer Studie von 3494 Phishing-Sites mit SSL-Zertifikaten im Februar 2019:

• EV: 0 Phishing-Sites (0%)
  
• OV: 145 Phishing-Sites (4,15%), hauptsächlich CDN-Multi-SAN-Multi-Domain-Zertifikate wie Cloudflare
  
• DV: 3349 Phishing-Sites (95,85%)

Browser-Antiphishing-Filter können die Bedrohung nicht bewältigen. Eine Studie von NSS Labs vom Oktober 2018 zeigte, dass Google Safe Browsing von Anfang an nur 79% der Phishing-Websites erkennt . Dieser Prozentsatz steigt innerhalb von zwei Tagen auf 95%, aber zu diesem Zeitpunkt funktionieren die meisten dieser Websites nicht mehr, nachdem sie ihre Aufgabe erledigt haben.



3. Der CA Security Council betrachtet die These von Google, dass es möglich ist, den EV-Indikator mit der Begründung abzulehnen, dass Benutzer ihn nicht als positiven Sicherheitsindikator als Fehler wahrnehmen. Erstens kennen qualifizierte Benutzer immer noch den Unterschied zwischen den Zertifikatstypen. Zweitens lohnt es sich, weniger qualifizierte Benutzer zu informieren, die die Unterschiede zwischen DV und EV nicht verstehen. Drittens hängt die Wahrnehmung des Benutzers vom Kontext ab: Menschen bemerken nicht so einfache Maßnahmen wie einen Sicherheitsgurt in einem Auto unter normalen komfortablen Bedingungen, aber dies ist kein Grund, Sicherheitsgurte abzulehnen.

4. Es reicht nicht aus, sich nur auf Phishing- URLs zu verlassen . Selbst eine Google-Studie stellt fest, dass Benutzer Probleme beim Analysieren von URLs haben und Fehler und Tippfehler auf Phishing-Websites häufig nicht bemerken. Gleichzeitig erfordert der EV-Indikator keine URL-Analyse.

Der CA-Sicherheitsrat ist der Ansicht, dass die Mängel der aktuellen EV-Zertifikate eine Ausrede sind, um an deren Verbesserung zu arbeiten, und kein Grund für die Ablehnung. Statistiken zeigen, dass das EV-Zertifikat Phishing-Sites am besten eliminiert. Um es effektiv zu nutzen, sollten sich Browser auf eine Standardanzeige einigen, sagte der Sicherheitsrat und zitierte erneut eine Analogie aus der Automobilwelt: Wenn das Stoppschild von Land zu Land und von Staat zu Staat unterschiedlich ist und die Fahrer seine Bedeutung nicht verstehen, ist dies kein Grund Entfernen Sie die Stoppschilder von allen Straßen, da diese unwirksam sind.

Trotz der visuellen Änderungen in den Browsern bleibt EV ein zuverlässiger Sicherheitsindikator. Er bestätigt immer noch die Gültigkeit der juristischen Person, gerade jetzt sind diese Informationen an einen anderen Ort verschoben worden. Benutzer müssen auf das Schlosssymbol klicken, um diese Informationen anzuzeigen.

Die Gerüchte über den Tod von EV-Zertifikaten waren also verfrüht. Es ist wahrscheinlich, dass Sicherheitsexperten und Designer das Problem verstehen und die Schnittstellen anpassen. Jetzt wird dieses Problem mit Browser-Entwicklern besprochen.

---