Los certificados EV están muertos

Eso es todo, lo dije: los certificados de validación extendida están muertos. Por supuesto, aún puede comprarlos (¡y algunas compañías se los venderán con gusto!), Pero su beneficio ahora ha disminuido de "apenas" a "inexistente". El cambio se produjo en varios factores, incluida la creciente popularidad de los dispositivos móviles, la eliminación del indicador visual EV de los navegadores, de iOS (así como de MacOS Mojave):



Por ejemplo, elegí el sitio web de Comodo, porque mostraron tanta desesperación asociada con la venta de vehículos eléctricos, hace apenas un mes me enviaron una carta publicitaria con el título "Cómo obtener una barra de direcciones verde para su sitio web". En la carta, comienzan a contar la versión "alternativa" de la verdad:



De hecho, así es como se ve Firefox hoy, pero se olvidan por completo de mencionar en la carta publicitaria que se trata de un indicador visual puramente arbitrario, que queda a discreción de los desarrolladores del navegador. Obviamente, Apple ya lo ha matado, pero incluso para muchas personas en Chrome, el sitio web de Comodo en realidad se ve muy diferente (experimento de Chrome):



La carta establece cómo EV combate el phishing y establece lo siguiente:

Mostrar un nombre de empresa verificado le permite identificar rápidamente la entidad legal detrás del sitio web, lo que dificulta el phishing y el fraude.

En otras palabras, si vemos el nombre de la compañía, esto lleva a un mayor nivel de confianza, y si invierte esta declaración, entonces si no vemos el nombre de la compañía, esto lleva a una disminución de la confianza, ¿verdad? El problema es que las personas simplemente no esperan ver el nombre de la empresa, y hay una demostración muy simple y efectiva de por qué esto es así:


Diez de los sitios más grandes del mundo: no hay EV en ningún lado

Comodo continúa convenciendo a EV de su efectividad, citando un "estudio reciente":

"Un estudio reciente de DevOps.com descubrió que los clientes tienen un 50% más de probabilidades de confiar y comprar en sitios con una barra de direcciones verde".

Se enlazan a una página larga en ComodoStore y, aunque esto no se menciona explícitamente en ninguna parte, las palabras implican que el estudio fue de alguna manera independiente e imparcial: "Devops.com realizó una encuesta" y otras frases similares. Publiqué sobre esto en julio , pero esta captura de pantalla dice todo lo que necesita saber sobre los motivos de la "encuesta":



Honestamente intenté encontrar al cliente de este trabajo, primero escribiendo al autor Tony Bradley, y sin recibir una respuesta, le pregunté a @TechSpective en Twitter, dónde es el editor en jefe, y @devopsdotcom (por cierto, mis seguidores) que publicaron la encuesta:


Al final, Tony Bradley confirmó un hecho completamente obvio. Se disculpó por la respuesta tardía porque rara vez se conectaba a Twitter y nombraba al cliente, Comodo CA.


Me gustaría ver esta indicación en el informe en sí, porque la participación de Comodo claramente conduce a un sesgo. Es como si una compañía petrolera ordenara un informe concluyendo que los combustibles fósiles no son dañinos para el medio ambiente, o una compañía tabacalera afirma que fumar no es dañino para la salud. Si todavía cree que DevOps.com realmente cree en el "beneficio" de los certificados EV, eche un vistazo a los suyos:



Este recurso se ha mencionado repetidamente en la carta de ventas de Comodo, pero continúe. Además, afirman que puede "activar la barra de direcciones verde" simplemente comprando un certificado EV:

"Para activar la barra de direcciones verde en su sitio, solo necesita comprar e instalar un certificado SSL de Validación Extendida (EV)".

No en el navegador más popular para iOS del mundo:



Y no en Chrome para Android, el sistema operativo más popular del mundo:



Echemos un vistazo a Microsoft Edge en iOS, y nuevamente este resultado predecible:



Estas son capturas de pantalla muy, muy importantes que reducen el valor de EV por dos razones clave. En primer lugar, casi 2/3 de todas las páginas vistas en el mundo son de dispositivos móviles . Es decir, las capturas de pantalla anteriores muestran la vista predominante en la que debe pensar el propietario del sitio. En segundo lugar, como resultado, las empresas no pueden decirles a sus clientes que esperen EV, porque la mayoría de ellos nunca lo verán. De todos modos, Comodo sugiere que EV tiene el beneficio de una "barra de seguridad verde más larga":

"La gran barra de seguridad verde es una señal muy clara para el usuario de que el sitio es seguro".

¿Sabes qué es exactamente esa señal? ¡El icono verde al lado de la URL en Chrome en el escritorio! Y si lo lees y piensas: "Espera, Chrome ya no hace esto", entonces tienes toda la razón. El icono ya no se destaca y no hay una palabra segura :



El cambio en Chrome 69 con fecha del 4 de septiembre afectó no solo a DV, sino también a sitios con EV:



Aquí trato de enfatizar que los indicadores visuales permanecen completamente a discreción de los desarrolladores del navegador y cambian con el tiempo. Por lo tanto, la frase "Cómo obtener una barra de direcciones verde en su sitio" ahora es aún más incorrecta que cuando se escribió. De hecho, la única representación más o menos precisa de EV en esta carta es el reconocimiento de que no puede recibir el certificado comodín EV . Pero espera! Hay una solución de fácil acceso, un poco más cara, se llama certificado multidominio , esta opción predeterminada para Enterprise SSL Pro de Comodo con EV Multi-Domain realmente le ahorrará $ 5002.44 *:



* Nota: debe gastar $ 9746.75 para obtener estos ahorros

Para mayor claridad, este no es un certificado de cuatro años. Como lo indica el texto a continuación, las reglas del Foro CA / B limitan el período máximo de validez del certificado a dos años, y después de eso debe repetir manualmente el proceso de verificación y emisión. Pero maldita sea, ¡esto no nos permitirá vender certificados por 4 años!

¿Pero qué pasa si no renueva el certificado? Bueno, entiendes esto :



Puede pensar: "Bueno, es algo obvio, lo mismo ocurre con DV", pero hay matices. En primer lugar, el abandono de la renovación de certificados ocurre con alarmante regularidad, y esto también sucede con los grandes. Por ejemplo, Microsoft olvidó actualizar secure.microsoft.co.uk en 2001 . Demasiado largo? No renovaron el certificado para el dominio de Azure en 2013 . Y, por supuesto, no solo Microsoft tiene esos problemas: por ejemplo, HSBC olvidó renovar el certificado en 2008, Instagram tuvo un desastre hace tres años y LinkedIn el año pasado . Hay muchos, muchos otros ejemplos, y todos dejan en claro la misma verdad común: si hay una tarea importante y repetitiva, ¡automatícela!

Lo que me lleva al segundo punto: la renovación del certificado debe ser automática, y esto es algo que simplemente no puede hacer si se requiere verificación de identidad. Con un certificado DV, la automatización es fácil; es la piedra angular de Let's Encrypt y un atributo verdaderamente importante de este servicio. Recientemente pasé un tiempo con el equipo de desarrollo en un importante banco europeo, y estaban pensando seriamente en renunciar a EV por este motivo. De hecho, no solo por esta razón, todavía existía el riesgo de que necesitaran obtener un nuevo certificado muy rápidamente (por ejemplo, debido a claves comprometidas), lo cual es mucho más difícil para EV que para DV. Además, los certificados a largo plazo en realidad crean riesgos adicionales debido a un procedimiento de revocación roto , por lo que las iteraciones rápidas (por ejemplo, los certificados Let's Encrypt son válidos por 3 meses) se convierten en una ventaja. Los certificados que son válidos por dos años no son una ventaja, excepto en términos de ganar dinero con ellos ...

(Paradójicamente, la historia de LinkedIn en el enlace anterior está conectada a TheSSLStore.com, que es un revendedor de certificados. Comprende los riesgos, pero en lugar de ofrecer automatización como parte de una solución de renovación de certificados, ofrecen soluciones que "escalan al nivel empresarial" desde los centros certificaciones como Comodo, que, por supuesto, empujan EV. No hay mención de Let's Encrypt. Ella es muy criticada por emitir certificados a sitios de phishing (con la verificación correcta del nombre de dominio), ¡aunque Comodo emitió la misma cantidad !

La falta de compatibilidad con comodines es una de las principales razones técnicas por las cuales EV debe evitarse (otras razones son principalmente solo sentido común), y completar el campo subjectAltName difícilmente se puede llamar una alternativa suficiente. Por ejemplo, tenemos un certificado comodín en nuestro sitio web de Informe URI , por lo que puede enviar informes a https: // [nombre de mi empresa] .report-uri.com, y tenemos cientos de subdominios de este tipo. Comodo felizmente apoyará esta escala:



Además del hecho de que Scott Helm y yo realmente no tenemos $ 808 mil, esto también está lejos de ser un certificado comodín real, porque en el momento de su emisión tendrá que especificar todos los nombres de host en lugar del mantenimiento dinámico.

Y el último punto en esta carta de marketing es la promesa de una garantía:



Se vincula directamente a la página con certificados EV multidominio súper caros y ni siquiera trata de explicar la esencia de la garantía, lo cual es un poco extraño. Pero esto es comprensible, porque nadie sabe realmente qué es una garantía y si alguien la solicitó al menos una vez . En serio, esto no debería ser una declaración frívola, Scott y yo sinceramente tratamos de resolver esto a principios de año, y simplemente no pudimos obtener respuestas directas. Cuando logré entablar un diálogo, me acusaron de estar "fuera de los nerds":


Diálogo:
Andreas Mullek : Andy, estos tipos no quieren admitir su diferencia: son demasiado empollones para comprender que las personas normales tienen necesidades diferentes a las personas en Nerdville. Nerdville es suficiente para mí, estoy volviendo para tratar los problemas de mis clientes del mundo normal. Hasta pronto.
Troy Hunt : Andreas, hice una pregunta muy razonable y esto es importante, porque los certificados se venden con una garantía, y estoy tratando de entender lo que esto significa. Los clientes reales quieren saber qué cubre esta garantía y ¿hay ejemplos documentados de su uso? ¿Sabes sobre ellos?

Según todos los informes, esta fue una respuesta muy inesperada, no de nadie, sino del CEO de CertCentre , ya que parece ser el primero en apreciar la gran importancia de la garantía del certificado (siempre que sea realmente importante, por supuesto). Si le paga a una compañía de este tipo por un producto con el conjunto de funciones declarado, entonces, siendo un "nerd", es bastante normal preguntarse cómo funcionan estas funciones, y esto no debería conducir al ridículo del tipo que dirige esta compañía. Desafortunadamente, en lugar de responder la pregunta, Andreas aplicó el método probado de avestruz:



Lo que realmente plantea dudas es que la garantía se vende por dinero (por supuesto, no recibe una garantía con un certificado Let's Encrypt), pero no están listos para explicar exactamente qué obtiene por su dinero. CertCentre también promueve activamente la garantía como un "elemento del más alto nivel de seguridad" :



Pero amigos, si ni siquiera pueden deletrear la palabra Garantía correctamente, ¿cuáles son las posibilidades reales de comprender lo que está haciendo?

Otro clavo en el ataúd EV es el informe semestral de Scott Alexa Top 1M del mes pasado. Proporciona estadísticas alentadoras sobre la transición de sitios de HTTP a HTTPS:



Los sitios HTTPS ya son del 52%, lo cual es muy bueno para Internet en su conjunto. Pero estaba interesado en un comentario sobre EV:

"A pesar del fuerte crecimiento en HTTPS en el primer millón de sitios, no hay un aumento en la participación de los certificados EV".

En números: en febrero 366 005 sitios redirigieron las solicitudes HTTP a HTTPS y 19 802 de ellos utilizaron certificados EV, que es el 5,41% de los sitios HTTPS. En agosto, 489,293 fueron redirigidos a HTTPS, y 25,158 de ellos tenían certificados EV, que es 5.14%. En otras palabras, la cuota de mercado de vehículos eléctricos disminuyó aproximadamente un 5%.

(Nota: 489,293 de hecho constituye el 52% de la muestra millonésima, porque 47,000 sitios no fueron escaneados y excluidos de las estadísticas).

Resulta que muchos sitios realmente rechazan los certificados EV. Hace un mes, Scott proporcionó una lista detallada de los principales sitios que usaban EV antes : Shutterstock, Target, UPS y la policía británica. Casi al mismo tiempo, noté que incluso Twitter abandonó EV.

La historia de Twitter es un poco extraña, porque de hecho se podía ver si tenían o no un certificado EV en su sitio, dependiendo de su ubicación. Esto también dice algo acerca de la eficacia de EV: si están listos para eliminarlo o agregarlo, es poco probable que las personas se comporten de manera diferente y confíen en un sitio sin EV menor. ¡Pero esta es la base sobre la cual se construyen los mecanismos EV!

No solo Comodo y CertCentre realizan campañas de desinformación, sino también muchas otras, por ejemplo:


Además de elegir navegadores históricos (¿cuántos años tiene esta imagen?), Se hace la siguiente declaración en el artículo por referencia :

"Los expertos en seguridad web recomiendan utilizar el certificado EV SSL para plataformas como el comercio electrónico, bancos, redes sociales, atención médica, gobierno y plataformas de seguros".

No estoy seguro de a quién se refieren en las primeras palabras, pero sé que, aparte de los bancos, esta declaración simplemente no es válida para otras industrias. Es fácil demostrar cuán fundamentalmente incorrecto es.

Aquí están los sitios de comercio electrónico más grandes del mundo . Haga clic en cada uno y verifique si tienen EV:

1. Amazonas
2. Netflix
3. eBay

Puede decir que Alexa clasificó incorrectamente a Netflix como un sitio de comercio electrónico, luego mire walmart.com, el siguiente más popular, y obtenga el mismo resultado. En ninguna parte es EV.

Seguimos adelante. La situación es la misma con las redes sociales :

1. Facebook
2. Twitter
3. LinkedIn

Como se discutió anteriormente, Twitter tiene una leve crisis de identidad en términos de si es compatible con EV, por lo que debe verificar la fidelidad del cuarto sitio web más grande: Pinterest .

En los sitios de atención médica más populares del mundo, lo mismo:

1. Instituto nacional de salud
2. Webmd
3. Clínica Mayo

No EV. En general Ni una sola cosa.

No pude encontrar una lista clara de los sitios web gubernamentales más grandes, por lo que obtuve los datos del rastreo nocturno Alexa Top 1M de Scott y seleccioné los sitios más grandes en la zona .gov. El Instituto Nacional de Salud es el más grande, pero ya lo hemos examinado, por lo que tomamos los siguientes tres:

1. Agencia de Identificación Única de India (que tiene otros problemas fundamentales con el soporte HTTPS )
2. Oficina de impuestos de la India
3. GOV.UK

A estas alturas, ya te has dado cuenta de que la posibilidad de conocer EV es al menos mínima. Tienes razón, ni un solo golpe.

Finalmente, los mejores sitios de seguros :

1. Asociación de automóviles de servicios unidos
2. Kaiser permanente
3. Geico

¡Encontramos uno! ¡USAA realmente tiene un certificado EV! Los otros dos no, pero al menos es algo, ¿verdad?

Si los "expertos en seguridad web" recomiendan EV para estas clases de sitios, entonces obviamente estos sitios no los escuchan. Entonces, tales recomendaciones son de naturaleza poética.

Otro conjunto de afirmaciones sin fundamento sobre SSL es que EV "aumenta la conversión de transacciones", "reduce la salida de la cesta de la compra" y "protege contra ataques de phishing". Puede entender por qué hacen tales declaraciones: la razón es visible en forma de botones inmediatamente debajo del texto:



Entonces, nuevamente volvimos a un claro sesgo. Pero bueno, solo están tratando de hacer negocios, así que entiendo los motivos. También podemos suponer que al iniciar un negocio así, a ellos mismos les gustaría aumentar la conversión, ¿verdad? Bueno, esto es gracioso:



¡Incluso el vendedor de EV es lo suficientemente inteligente como para no gastar dinero en ello! Además, recordamos que la "barra de direcciones verde" ha desaparecido por completo gracias al navegador más popular del mundo, que la eliminó en la versión 69.

Hay una discusión con el phishing. A menudo se afirma que EV de alguna manera lo reduce. Esto es exactamente lo que se indica en la diapositiva de la presentación de Entrust desde el comienzo de este año:



Hay un montón de fraudes, y para el análisis es mejor leer este hilo de Ryan Slevy. Analizó el estudio en el que se basa la diapositiva.

Ryan es un criptógrafo muy inteligente que trabaja en Chromium, y tiene una excelente capacidad para exponer claramente cualquier tontería al agua clara. Al final, resume la situación : “En general, este es un mal artículo. Pero aún peor, están tratando de pasarla por investigación "basada en datos". Utilizan una metodología errónea y un enfoque selectivo para respaldar un modelo de negocio que se basa en usuarios que son los únicos responsables de detectar los cambios en la interfaz de usuario ".

Es decir, volvemos al hecho de que EV será efectivo solo si las personas cambian su comportamiento debido a un cambio en la IU. En realidad, las personas no saben a qué prestar atención, y este cambio en sí mismo generalmente deja de existir gradualmente. O el cambio es demasiado insignificante para que la gente le preste atención. ¿Recuerdas la primera captura de pantalla en el artículo donde el navegador Safari ya no muestra el nombre de la empresa registrada en el certificado EV? Compárelo con una captura de pantalla de mi blog, también abierta en Safari en iOS 12:



¿Ves la diferencia? La URL del sitio EV y el castillo al lado ahora son verdes, mientras que el sitio DV está en negro. Entonces, para crear una expectativa apropiada para los usuarios, deben decirles que busquen URL verdes y un bloqueo ... ¡a menos que usen Chrome, que generalmente eliminó todos los elementos verdes! Obviamente, es ridículo explicar a los usuarios tales matices en el navegador, especialmente teniendo en cuenta la velocidad de su cambio.

Volviendo al sitio Acerca de SSL, hay un video en el que un orador explica los méritos de EV en los mismos puntos que revisamos. Video durante aproximadamente 6 minutos, si tiene paciencia para mirar:


Podemos ir directamente a lo interesante, por ejemplo, cuando el moderador (y el gerente de marketing de productos de Comodo ) habla sobre la importancia de EV para una transacción financiera:

"En el momento más crítico, cuando deciden si realizar una transacción, este llamativo indicador visual (línea verde EV) con información que confirma el nombre de la empresa, la ubicación y el organismo de certificación les da la confianza necesaria para tomar una decisión".

La tesis se ve reforzada por una captura de pantalla del sitio web Excalibur Cutlery & Gifts :



Probablemente ya sienta que será ... y tiene razón:



no EV. No hay DV comercial en absoluto, pero un certificado Let's Encrypt completamente normal y gratuito . El video es de una época arcaica: en él se abren sitios en IE8 en Windows XP ... No puedo hacer nada, pero existe la sensación de que la situación está algo ... desactualizada. Resultó que es así:



no comenzaría a evaluar el video hace casi diez años desde las posiciones de hoy, pero las mismas tesis se expresan allí como lo son hoy. Y, por supuesto, un artículo con este video está referenciado por un tweet publicado hace apenas un mes bajo la apariencia de una "Guía importante para un certificado de verificación SSL avanzado", por lo que todo es justo.

Esta no es la primera vez que Comodo utiliza sitios EV para promocionar EV que no tienen EV. Más recientemente, alguien me mostró una carta de Comodo que me recordaba la renovación del dominio:



Naturalmente, se interesó en Mayormentedead.com y quería ver cómo estaba ocurriendo el "aumento del 20% en las ventas" (según Ken Crease). Bueno, entiendes, porque EV "aumenta la confianza del consumidor". Parece que nada más: cuanto



más profundizas en el tema, más estás convencido de que EV ... está casi muerto. Después de todo, este no es solo un sitio aleatorio que cambió de EV a DV. Este es un sitio específicamente elegido para demostrar el valor de EV! Debería ser un ejemplo del valor de EV, y Comodo lo ha promocionado hasta el día de hoy. Sin embargo, vemos que Ken Crease ha cambiado claramente de opinión sobre la efectividad de EV (y tal vez nunca tuvo esa opinión).

La situación con EV está empezando a verse así:



pero aún no hemos terminado: quiero mencionar otro sitio que solía tener un certificado EV y ahora ha regresado a DV. Este es el sitio:


Nota del traductor: TIB Hunt lanzó el sitio HIBP con la base de datos de cuentas robadas.

Cambié el certificado anteayer y hasta ahora nadie lo ha mencionado. Nadie No es una sola alma, pero mi audiencia está mucho mejor versada en tales cosas que su usuario promedio. Naturalmente, no faltaron personas que pudieron notar un cambio durante este período: hace



casi dos años, escribí sobresu viaje al mundo de los certificados EV . Como en muchos de mis artículos, aquí estudié sobre la marcha; Yo mismo quería pasar por el proceso de certificación EV (otros siempre lo han hecho antes) y quería ver si realmente importaba. En ese momento, honestamente no entendí y terminé el artículo así:

“Todas estas cosas con certificación EV son difíciles de medir en términos de valor. No tengo idea de cuántas personas más revisarán su dirección de correo electrónico en el servicio, cuánto más cobertura de medios o donaciones recibirá. Generalmente sin una pista.

Dos años después, estoy bastante convencido de la conclusión: no tiene valor. Pero esto no significa que haya un inconveniente en tener dicho certificado, simplemente no hay ventajas. A medida que se acerca la fecha de renovación (14 de diciembre), llamé y solicité retirarla con anticipación para volver a la versión gratuita de Cloudflare. No hay absolutamente ninguna razón para pagar la renovación (inmediatamente pagué $ 472 por un certificado de dos años), y no había razón para esperar el vencimiento, excepto por la aversión a las pérdidas , y tiene el mismo significado que los certificados EV.

A menudo me preguntaba cuál es el punto de pagar los certificados EV o DV en una era de certificados disponibles gratuitamente. Visito muchas empresas de todo el mundo que hablan sobre HTTPS, y cuando trato de investigar este problema, escucho regularmente la frase "Nadie fue despedido aún por la compra de IBM". Estaba buscando un buen enlace para explicar el significado de esta frase, y encontré uno excelente en la definición de FUD de Wikipedia :

“Al difundir información cuestionable sobre las deficiencias de productos menos conocidos, una empresa establecida puede evitar que los responsables de la toma de decisiones elijan estos productos en lugar de los suyos, independientemente de los méritos técnicos relativos. Este es un fenómeno reconocido, encarnado por el axioma tradicional de los agentes de compras, de que "todavía no se ha despedido a nadie por la compra de equipos de IBM". El objetivo es que TI compre software técnicamente inferior porque es más probable que la alta gerencia reconozca la marca ".

En otras palabras, las personas toman decisiones desinformadas sobre lo que consideran "seguro" debido al FUD de marketing. Sospecho que las empresas con sellos de seguridad de terceros en sus sitios tienen una mentalidad similar. No tienen suficiente conocimiento y comprensión de que realmente pueden aumentar los riesgos , pero maldición, ¡se anunciaron así!

Entonces sí, no hay más EV en HIBP, y nadie lo extrañará, lo cual es totalmente consistente con la experiencia de otros que rechazaron los certificados de validación extendida:

"Este mes, renunciamos a EV, mejoramos la velocidad de apretón de manos TLS, y nadie dijo que faltaba algo".

"En el portal de pago, reemplazamos el certificado EV con @letsencrypt:
- renovación automática (sin un proceso manual largo y complicado, lo que reduce el riesgo de caducidad)
- precio
- a las personas no les importa el tipo de certificado
- actualización más frecuente - recuperación más rápida de un posible compromiso "

“Nos dimos cuenta de que la gente confía más en la bonita insignia verde que en el nombre desconocido de nuestra compañía. Ahorrar es una ventaja ”.

“No estoy de acuerdo con que el asunto esté en el precio. Target y los otros gigantes no se preocupan por $ 1,000 por un certificado. Creo que se trata de la conciencia. Sé que hace 18 meses un certificado EV parecía una buena idea para mi sitio .org. ¿Pero lo renovaré? No! Porque me di cuenta de su falta de sentido ".

"No puedo decir cuál se convirtió en el factor principal: 1. La necesidad de un comodín para aumentar la flexibilidad. 2. Los costos ya no son justificables, especialmente considerando varios subdominios. 3. La falta de conocimiento del usuario significa que casi nadie notó los cambios ".

El artículo salió largo, porque cada vez que me sentaba a escribir, había nueva evidencia de la absoluta falta de sentido de EV. Comencé a tomar notas mucho antes de algunos de los eventos enumerados, incluso antes del lanzamiento de Chrome 69 y la eliminación de la barra de direcciones verde, que mató a una de las principales cartas de triunfo del marketing de vehículos eléctricos. Esto no quiere decir que EV es la única tecnología que ha muerto gradualmente de mil cortes. Antes esos certificados eran un buen producto, pero ahora una situación completamente diferente, y esto es solo una reliquia sin sentido de una época pasada. Los fabricantes de navegadores son conscientes de esto y actúan en consecuencia. Es solo cuestión de tiempo antes de que el último clavo se introduzca en el ataúd EV:


Chrome Canary v70 está tratando de eliminar los nombres de compañías EV-SSL, me pregunto si esto será en la versión final.

Cuando Chrome finalmente elimine el indicador visual EV del navegador (tal como ya lo hicieron en dispositivos móviles, y como Apple hizo en la línea Safari), estará bien y realmente pondrá fin a EV. Quizás entonces el FUD finalmente termine.

Le daré una última pequeña evidencia de la inutilidad absoluta de EV: esta es mi conferencia en Londres a principios de este año. Este es el momento en que empiezo a hablar sobre EV, y es la interacción con el público aquí lo que es indicativo. Vea cómo reacciona una sala llena de expertos en tecnología cuando pregunto qué tipo de indicadores visuales esperan ver en sitios populares. ¡Disfrútalo!