C'est tout, je l'ai dit: les certificats de validation étendue sont morts. Bien sûr, vous pouvez toujours les acheter (et certaines entreprises vous les vendront avec plaisir!), Mais leur avantage est désormais passé de «à peine» à «inexistant». Le changement s'est produit dans un certain nombre de facteurs, notamment la popularité croissante des appareils mobiles, la suppression de l'indicateur visuel EV des navigateurs, d'iOS (ainsi que de MacOS Mojave):
Par exemple, j'ai choisi le site Web Comodo, car ils montraient un tel désespoir associé à la vente de véhicules électriques, il y a tout juste un mois, ils m'ont envoyé une lettre publicitaire avec le titre "Comment obtenir une barre d'adresse verte pour votre site Web" Dans la lettre, ils commencent à dire la version «alternative» de la vérité:
En effet, c'est à quoi ressemble Firefox aujourd'hui, mais ils oublient complètement de mentionner dans la lettre publicitaire qu'il s'agit d'un indicateur visuel purement arbitraire, qui est laissé à la discrétion des développeurs de navigateurs. Évidemment, Apple l'a déjà tué, mais même pour beaucoup de gens sur Chrome, le site Web de Comodo est en réalité très différent (expérience Chrome):
La lettre indique comment EV combat le phishing et déclare ce qui suit:
L'affichage d'un nom de société vérifié vous permet d'identifier rapidement l'entité juridique derrière le site Web, ce qui rend le phishing et la fraude difficiles.
En d'autres termes, si nous voyons le nom de l'entreprise, cela conduit à un niveau de confiance plus élevé, et si vous inversez cette déclaration, alors si nous
ne voyons
pas le nom de l'entreprise, cela conduit à une baisse de confiance, non? Le problème est que les gens ne
s'attendent tout simplement pas
à voir le nom de l'entreprise, et il existe une démonstration très simple et efficace de la raison pour laquelle il en est ainsi:
Dix des plus grands sites au monde: aucun véhicule électrique n'importe oùComodo continue de convaincre EV de son efficacité, citant une «étude récente»:
"Une étude récente de DevOps.com a révélé que les clients sont 50% plus susceptibles de faire confiance et d'acheter sur des sites dotés d'une barre d'adresse verte."
Ils renvoient vers une
longue page sur ComodoStore, et bien que cela ne soit explicitement mentionné nulle part, les mots impliquent que l'étude était en quelque sorte indépendante et impartiale: «Devops.com a mené une enquête» et d'autres expressions similaires. J'ai
posté à ce sujet en juillet , mais cette capture d'écran dit tout ce que vous devez savoir sur les motivations de «l'enquête»:
J'ai honnêtement essayé de trouver le client de ce travail, en écrivant d'abord à l'auteur Tony Bradley, et sans recevoir de réponse, j'ai demandé à
@TechSpective sur Twitter, où il est le rédacteur en chef, et à
@devopsdotcom (soit dit en passant, mes followers) qui ont publié l'enquête:
Au final, un fait tout à fait évident a été confirmé par Tony Bradley. Il s'est excusé pour la réponse tardive, car il s'est rarement connecté à Twitter et a nommé le client, Comodo CA.
Je voudrais voir cette indication dans le rapport lui-même, car l'implication de Comodo conduit clairement à des biais. C'est comme si une compagnie pétrolière ordonnait un rapport concluant que les combustibles fossiles ne sont pas nocifs pour l'environnement, ou qu'une compagnie de tabac prétend que fumer n'est pas nocif pour la santé. Si vous pensez toujours que DevOps.com croit réellement aux «avantages» des certificats EV, jetez un œil aux leurs:
Cette ressource a été mentionnée à plusieurs reprises dans la lettre de vente de Comodo, mais continuez. Ils indiquent en outre que vous pouvez «activer la barre d'adresse verte» en achetant simplement un certificat EV:
"Pour activer la barre d'adresse verte sur votre site, il vous suffit d'acheter et d'installer un certificat SSL Extended Validation (EV)."
Pas dans le navigateur iOS le plus populaire au monde:
Et pas dans Chrome pour Android, le système d'exploitation le plus populaire au monde:
Jetons un coup d'œil à Microsoft Edge sur iOS, et encore une fois ce résultat prévisible:
Ce sont des captures d'écran très,
très importantes qui réduisent la valeur de EV pour deux raisons principales. Premièrement,
près des 2/3 de toutes les pages vues dans le monde proviennent d'appareils mobiles . Autrement dit, les captures d'écran ci-dessus montrent la vue dominante à laquelle le propriétaire du site doit penser. Deuxièmement, par conséquent, les entreprises ne peuvent pas dire à leurs clients de s'attendre à un véhicule électrique, car la plupart d'entre elles ne le verront jamais. Quoi qu'il en soit, Comodo suggère que EV a l'avantage d'une «barre de sécurité verte plus longue»:
"La grande barre de sécurité verte est un signal très clair pour l'utilisateur que le site est sûr."
Savez-vous ce qu'est exactement un tel signal? L'icône verte à côté de l'URL dans Chrome sur le bureau! Et si vous le lisez et pensez: "Attendez, Chrome ne fait plus cela", alors vous avez absolument raison. L'icône ne se détache plus et il n'y a pas de mot
sécurisé :
Le changement dans Chrome 69 du 4 septembre a affecté non seulement le DV, mais aussi les sites avec EV:
Ici, j'essaie de souligner que les indicateurs visuels restent entièrement à la discrétion des développeurs de navigateurs et changent au fil du temps. Ainsi, l'expression "Comment obtenir une barre d'adresse verte sur votre site" est maintenant encore plus incorrecte que lorsqu'elle a été écrite! En fait, la seule représentation plus ou moins précise d'EV dans cette lettre est la reconnaissance que vous
ne pouvez pas recevoir le certificat générique EV . Mais attends! Il existe une solution facilement accessible, juste un peu plus chère, elle s'appelle un
certificat multi-domaine , cette option par défaut pour
Enterprise SSL Pro de Comodo avec EV Multi-Domain vous fera vraiment économiser 5002,44 $ *:
* Remarque: vous devez dépenser 9746,75 $ pour obtenir ces économies
Pour plus de clarté, ce n'est pas un certificat de quatre ans. Comme le texte ci-dessous l'indique, les règles du forum CA / B limitent la période de validité maximale du certificat à deux ans, et après cela, vous devez répéter manuellement le processus de vérification et d'émission. Mais bon sang, cela ne nous permettra pas de vendre des certificats pendant 4 ans!
Mais que se passe-t-il si vous
ne renouvelez
pas le certificat? Eh bien, vous obtenez
ceci :
Vous pourriez penser: "Eh bien, c'est assez évident, c'est le cas avec le DV", mais il y a des nuances. Premièrement, la négligence du renouvellement des certificats se produit avec une régularité alarmante, et cela se produit également avec les gros gars. Par exemple,
Microsoft a oublié de mettre à jour secure.microsoft.co.uk en 2001 . Trop longtemps? Ils n'ont
pas renouvelé le certificat pour le domaine Azure en 2013 . Et bien sûr, non seulement Microsoft a de tels problèmes: par exemple,
HSBC a oublié de renouveler le certificat en 2008, Instagram a eu une telle catastrophe il y a trois ans , et
LinkedIn l'année dernière . Il existe de très
nombreux autres exemples, et ils expliquent tous clairement la même vérité commune: s'il y a une tâche importante et répétitive, automatisez-la!
Ce qui m'amène au deuxième point: le renouvellement du certificat doit être automatisé, et c'est quelque chose que vous ne pouvez tout simplement pas faire si une vérification d'identité est requise. Avec un certificat DV, l'automatisation est facile; c'est la pierre angulaire de Let's Encrypt et un attribut vraiment important de ce service. J'ai récemment passé du temps avec l'équipe de développement d'une grande banque européenne, et ils pensaient sérieusement à abandonner EV pour cette raison. En fait, non seulement pour cette raison, il y avait toujours un risque qu'ils aient besoin d'obtenir un nouveau certificat très rapidement (par exemple, en raison de clés compromises), ce qui est beaucoup plus difficile pour EV que pour DV. De plus, les certificats à long terme créent en fait des risques supplémentaires en raison d'une
procédure de révocation interrompue , donc des itérations rapides (par exemple, les certificats Let's Encrypt sont valides pendant 3 mois) deviennent un avantage. Les certificats valables deux ans
ne sont
pas un avantage, sauf en termes d'argent sur eux ...
(Paradoxalement, l'histoire de LinkedIn sur le lien ci-dessus est liée à TheSSLStore.com, qui est un revendeur de certificats. Vous comprenez les risques, mais au lieu d'offrir l'automatisation dans le cadre d'une solution de renouvellement de certificat, ils proposent des solutions qui "évoluent au niveau de l'entreprise" à partir des centres certifications telles que Comodo, qui, bien sûr, poussent EV. Il n'est pas fait mention de Let's Encrypt. Elle est
fortement critiquée pour avoir délivré des certificats aux sites de phishing (avec la vérification correcte du nom de domaine), bien que
Comodo ait
émis le même montant !
Le manque de prise en charge des caractères génériques est l'une des principales raisons
techniques pour lesquelles EV doit être évité (d'autres raisons sont principalement du bon sens), et le remplissage du champ subjectAltName peut difficilement être qualifié d'alternative suffisante. Par exemple, nous avons un certificat générique sur notre site Web
Report URI , vous pouvez donc envoyer des rapports à https: // [mon nom de société] .report-uri.com, et nous avons des centaines de ces sous-domaines. Comodo soutiendra volontiers cette échelle:
En plus du fait que
Scott Helm et moi n'avons vraiment pas 808 milliers de dollars, cela est également loin d'un véritable certificat générique, car au moment de sa publication, vous devrez spécifier tous les noms d'hôte au lieu de la maintenance dynamique.
Et le dernier point de cette lettre marketing est la promesse d'une garantie:
Il renvoie directement à la page avec des certificats EV multi-domaines super chers et n'essaie même pas d'expliquer l'essence de la garantie, ce qui est un peu étrange. Mais cela est compréhensible, car
personne ne sait vraiment ce qu'est une garantie et si quelqu'un l'a demandée au moins une fois . Sérieusement - cela ne devrait pas être une déclaration frivole, Scott et moi avons honnêtement essayé de comprendre cela au début de l'année - et n'avons tout simplement pas pu obtenir de réponses directes. Quand j'ai réussi à engager un dialogue, ils m'ont accusé d'être «hors des nerds»:
Dialogue:
Andreas Mullek : Andy, ces gars-là ne veulent pas admettre leur différence - ils sont trop nerd pour comprendre que les gens normaux ont des besoins différents de ceux de nerdville. Nerdville me suffit, je reviens pour faire face aux problèmes de mes clients du monde normal. A bientôt.
Troy Hunt : Andreas, j'ai posé une question très raisonnable et c'est important, car les certificats sont vendus avec une garantie, et j'essaie de comprendre ce que cela signifie. Les vrais clients veulent savoir ce que couvre cette garantie et existe-t-il des exemples documentés de son utilisation? Les connaissez-vous?Selon tous les comptes, il s'agissait d'une réponse très inattendue de la part de personne, mais du
PDG de CertCentre , car il semble être le premier à apprécier la grande importance de la garantie du certificat (à condition qu'elle soit vraiment importante, bien sûr). Si vous payez une telle entreprise pour un produit avec l'ensemble de fonctions déclaré, étant un «nerd», il est tout à fait normal de demander comment ces fonctions fonctionnent, et cela ne devrait pas conduire à ridiculiser le gars qui dirige cette entreprise. Malheureusement, au lieu de répondre à la question, Andreas a appliqué la méthode éprouvée de l'autruche:
Ce qui soulève vraiment des questions, c'est que la garantie est vendue pour de l'argent (bien sûr, vous ne recevez pas de garantie avec un certificat Let's Encrypt), mais ils ne sont pas prêts à expliquer exactement ce que vous obtenez pour votre argent.
CertCentre promeut également activement la garantie en tant qu '«élément du plus haut niveau de sécurité» :
Mais mes amis, si vous ne pouvez même pas
épeler correctement le mot
Garantie , quelles sont les chances réelles de comprendre ce qu'il fait?!
Un autre clou dans le cercueil EV est
le rapport semestriel Top 1M de
Scott Alexa du mois dernier. Il fournit des statistiques encourageantes sur la transition des sites de HTTP à HTTPS:
Les sites HTTPS représentent déjà 52%, ce qui est très bon pour Internet dans son ensemble. Mais j'étais intéressé par un tel commentaire concernant EV:
"Malgré la forte croissance du HTTPS dans le premier million de sites, il n'y a pas d'augmentation de la part des certificats EV."
En chiffres: en février, 366 005 sites ont redirigé les requêtes HTTP vers HTTPS et 19 802 d'entre eux ont utilisé des certificats EV, soit 5,41% des sites HTTPS. En août, 489 293 ont été redirigés vers HTTPS, et 25 158 d'entre eux avaient des certificats EV, soit 5,14%. En d'autres termes, la part de marché des véhicules électriques a diminué d'environ 5%.
(Remarque: 489 293 constituent en effet 52% du millionième échantillon, car 47 000 sites n'ont pas été analysés et exclus des statistiques).
Il s'avère que de nombreux sites
refusent en fait
les certificats EV. Il y a un mois,
Scott a fourni une liste détaillée des principaux sites qui utilisaient auparavant des véhicules électriques: Shutterstock, Target, UPS et la police britannique. Vers la même époque, j'ai
remarqué que même Twitter a abandonné EV.
L'histoire de Twitter est un peu étrange, car en fait, vous pouvez voir s'ils avaient ou non un certificat EV sur leur site, selon votre emplacement. Cela dit aussi quelque chose sur l'efficacité d'EV: s'ils sont prêts à le supprimer ou à l'ajouter, il est peu probable que les gens se comportent différemment et fassent moins confiance à un site sans EV. Mais c'est la base sur laquelle la mécanique EV est construite!
Non seulement Comodo et CertCentre mènent des campagnes de désinformation, mais aussi de nombreuses autres, par exemple:
En plus de choisir des navigateurs historiques (quel âge a cette image?!), La déclaration suivante est faite dans l'
article par référence :
«Les experts en sécurité Web recommandent d'utiliser le certificat SSL EV pour des plateformes telles que le commerce électronique, les banques, les médias sociaux, les soins de santé, le gouvernement et les plateformes d'assurance.»
Je ne sais pas à qui ils se réfèrent dans les premiers mots, mais je sais qu'en dehors des banques, cette déclaration ne tient tout simplement pas la route aux autres industries. Il est facile de démontrer à quel point c'est fondamentalement mauvais.
Voici les
plus grands sites de commerce électronique au monde . Cliquez sur chacun et vérifiez s'ils ont EV:
- Amazon
- Netflix
- eBay
Vous pouvez dire qu'Alexa a incorrectement classé Netflix en tant que site de commerce électronique, alors regardez
walmart.com, le prochain plus populaire, et obtenez le même résultat. Nulle part EV.
Nous continuons. La
situation est la même avec
les réseaux sociaux :
- Facebook
- Twitter
- LinkedIn
Comme discuté précédemment, Twitter connaît une légère crise d'identité en ce qui concerne la prise en charge de l'EV, alors vérifiez la fidélité du quatrième site Web:
Pinterest .
Sur les
sites de santé les plus populaires au
monde, la même chose:
- Institut national de la santé
- Webmd
- Clinique Mayo
Pas d'EV. Généralement. Pas une seule chose.
Je ne pouvais pas trouver une liste claire des plus grands sites Web du gouvernement, j'ai donc extrait les données de
l'exploration nocturne Alexa Top 1M de
Scott et sélectionné les plus grands sites de la zone .gov. L'Institut national de la santé est le plus grand, mais nous l'avons déjà examiné, nous prenons donc les trois suivants:
- India Unique Identification Agency (qui a d' autres problèmes fondamentaux avec le support HTTPS )
- Bureau des impôts de l'Inde
- GOV.UK
À ce jour, vous avez déjà réalisé que la chance de rencontrer EV est au moins quelque part minime. Vous avez raison - pas un seul coup.
Enfin, les
meilleurs sites d'assurance :
- United Services Automobile Association
- Kaiser permanente
- Geico
Nous en avons trouvé un! USAA a vraiment un certificat EV! Les deux autres non, mais c'est au moins quelque chose, non?
Si les «experts en sécurité Web» recommandent EV pour ces classes de sites, alors évidemment ces sites ne les écoutent pas. Ces recommandations sont donc de nature poétique.
Un autre ensemble de revendications non fondées sur SSL est que EV "augmente la conversion des transactions", "réduit le départ du panier" et "protège contre les attaques de phishing". Vous pouvez comprendre pourquoi ils font de telles déclarations: la raison est visible sous la forme de boutons juste en dessous du texte:
Nous sommes donc revenus à nouveau à un biais clair. Mais bon, ils essaient juste de faire des affaires, donc je comprends les motifs. Nous pouvons également supposer que le démarrage d'une telle entreprise qu'ils souhaitent eux-mêmes augmenter la conversion, non? Eh bien, c'est drôle:
Même le vendeur de véhicules électriques lui-même est assez intelligent pour ne pas y dépenser d'argent! De plus, nous rappelons que la "barre d'adresse verte" elle-même a maintenant complètement disparu grâce au navigateur le plus populaire au monde, qui l'a tuée dans la version 69.
Il y a un argument avec le phishing. On prétend souvent que EV le réduit d'une manière ou d'une autre. C'est exactement ce qui est indiqué sur la diapositive de la présentation d'Entrust du début de cette année:
Il y a tout un tas de fraudes, et pour l'analyse, il est préférable de lire
ce fil de Ryan Slevy. Il a analysé l'
étude sur laquelle la diapositive est basée.
Ryan est un cryptographe très intelligent travaillant sur le chrome, et il a une excellente capacité d'exposer clairement toutes les bêtises à l'eau claire. Au final, il
résume la situation : «En général, c'est un mauvais article. Mais pire encore, ils essaient de la faire passer pour une recherche «basée sur les données». Ils utilisent une méthodologie erronée et une approche sélective pour soutenir un modèle d'entreprise qui repose sur des utilisateurs qui sont seuls responsables de la détection des changements d'interface utilisateur. »
Autrement dit, nous revenons au fait que l'EV ne sera efficace que si les gens changent leur comportement en raison d'un changement dans l'interface utilisateur. En réalité, les gens ne savent pas à quoi prêter attention, et ce changement lui-même cesse généralement d'exister. Ou le changement est trop insignifiant pour que les gens y prêtent attention. Vous vous souvenez de la première capture d'écran de l'article où le navigateur Safari n'affiche plus le nom de l'entreprise enregistrée dans le certificat EV? Comparez-le avec une capture d'écran de mon blog, également ouvert dans Safari sur iOS 12:
Tu vois la différence? L'URL du site EV et le château à côté sont désormais verts, tandis que le site DV est en noir. Alors maintenant, pour créer une attente appropriée pour les utilisateurs, ils doivent leur dire de rechercher
des URL
vertes et un verrou ... sauf s'ils utilisent Chrome, qui a généralement supprimé tous les éléments verts! De toute évidence, il est ridicule d'expliquer aux utilisateurs de telles nuances dans le navigateur, en particulier compte tenu de la vitesse de leur modification.
De retour sur le site À propos de SSL, il existe une telle vidéo où un conférencier explique les mérites d'EV sur les mêmes points que nous avons examinés. Vidéo pendant environ 6 minutes, si vous avez la patience de regarder:Nous pouvons passer directement à l'intéressant, par exemple, lorsque le modérateur (et le responsable du marketing produit de Comodo ) parle de la criticité de l'EV pour une transaction financière:«Au moment le plus critique, lorsqu'ils décident de faire une transaction, cet indicateur visuel frappant (ligne verte EV) avec des informations confirmant le nom de l'entreprise, l'emplacement et l'organisme de certification donne la confiance nécessaire pour prendre une décision.»
La thèse est renforcée par une capture d'écran du site Excalibur Cutlery & Gifts : Vous avez
probablement déjà l'impression que ce sera le cas ... et vous avez raison:
pas d'EV. Pas de DV commercial du tout, mais un certificat Let's Encrypt gratuit tout à fait normal . La vidéo ressemble à une époque archaïque: des sites ouverts dans IE8 sous Windows XP ... Je ne peux rien faire, mais on a l'impression que la situation est quelque peu ... dépassée. Il s'est avéré que c'est le cas:
je n'évaluerais pas la vidéo il y a près de dix ans du point de vue d'aujourd'hui, mais les mêmes points y sont exprimés qu'aujourd'hui. Et bien sûr, un article avec cette vidéo est référencé par un tweet publié il y a à peine un mois sous le couvert d'un «Guide important pour un certificat de vérification SSL avancé», donc tout est juste.Ce n'est pas la première fois que Comodo utilise des sites EV pour promouvoir des véhicules électriques qui n'en ont pas . Plus récemment, quelqu'un m'a montré une lettre de Comodo me rappelant le renouvellement du domaine:
Naturellement, il s'est intéressé à Mostlydead.com et voulait voir comment se déroulait «l'augmentation de 20% des ventes» (selon Ken Crease). Eh bien, vous comprenez, car EV "augmente la confiance des consommateurs." Cela ne semble plus rien:
plus vous approfondissez le sujet, plus vous êtes convaincu que EV ... est presque mort. Après tout, ce n'est pas seulement un site aléatoire qui est passé d'EV à DV. Il s'agit d'un site spécialement choisi pour démontrer la valeur de l'EV! Cela devrait être un exemple de la valeur de l'EV, et Comodo l'a vanté jusqu'à ce jour. Cependant, nous voyons que Ken Crease a clairement changé d'avis sur l'efficacité de l'EV (et peut-être qu'il n'a jamais eu une telle opinion).La situation avec EV commence à ressembler à ceci:
Mais nous n'avons pas encore fini: je veux mentionner un autre site qui avait un certificat EV et qui est maintenant revenu à DV. Voici le site:
Note du traducteur: TIB Hunt a lancé le site HIBP avec la base de données des comptes volés.J'ai changé le certificat avant-hier et jusqu'à présent personne ne l'a même mentionné. Personne. Pas une seule âme, mais mon public connaît bien mieux ces choses que votre utilisateur moyen. Naturellement, il n'y avait pas de pénurie de personnes qui pouvaient remarquer un changement au cours de cette période: il y a
près de deux ans, j'ai écritson voyage dans le monde des certificats EV . Comme dans beaucoup de mes articles, j'ai étudié ici en déplacement; Je voulais passer par le processus de certification EV moi-même (d'autres l'ont toujours fait auparavant), et je voulais voir si cela importait vraiment. A cette époque, honnêtement, je ne comprenais pas et j'ai terminé l'article comme ceci:«Toutes ces choses certifiées EV sont difficiles à mesurer en termes de valeur. Je n'ai aucune idée du nombre de personnes qui vérifieront leur adresse e-mail dans le service, de la couverture médiatique ou des dons qu'il recevra. Généralement sans indice. ”
Deux ans plus tard, je suis assez convaincu de la conclusion: il n'y a pas de valeur. Mais cela ne signifie pas qu'il y a un
inconvénient à avoir un tel certificat, il n'y a tout simplement aucun avantage. À l'approche de la date de renouvellement (14 décembre), j'ai appelé et demandé de le retirer à l'avance afin de revenir à la version gratuite de Cloudflare. Il n'y a absolument aucune raison de payer pour le renouvellement (j'ai immédiatement payé 472 $ pour un certificat de deux ans), et il n'y avait aucune raison d'attendre l'expiration, sauf pour l'
aversion aux pertes , et cela a le même sens que les certificats EV.
Je me suis souvent demandé quel était l'intérêt de payer pour des certificats EV ou DV à l'ère des certificats librement disponibles. Je visite de nombreuses entreprises à travers le monde pour discuter de HTTPS, et lorsque j'essaie de sonder ce problème, j'entends régulièrement la phrase "Personne n'a encore été licencié pour l'achat d'IBM". Je cherchais un bon lien pour expliquer le sens de cette phrase - et en ai trouvé un excellent dans la
définition de FUD de Wikipedia :
«En diffusant des informations douteuses sur les lacunes des produits moins connus, une entreprise établie peut empêcher les décideurs de choisir ces produits au lieu des leurs, indépendamment de leurs mérites techniques relatifs. Il s'agit d'un phénomène reconnu incarné par l'axiome traditionnel des agents d'achat selon lequel «personne n'a encore été licencié pour l'achat d'équipement IBM». L'objectif est que l'informatique achète des logiciels techniquement inférieurs, car la haute direction est plus susceptible de reconnaître la marque. »
En d'autres termes, les gens prennent des décisions non informées sur ce qu'ils considèrent comme «sûr» à cause du FUD marketing. Je soupçonne que les entreprises avec des sceaux de sécurité tiers sur leurs sites ont une mentalité similaire. Ils n'ont pas suffisamment de connaissances et de compréhension pour
augmenter les risques , mais bon sang, ils ont été annoncés comme ça!
Alors oui - il n'y a plus d'EV sur HIBP, et personne ne le manquera, ce qui correspond parfaitement à l'expérience des autres qui ont refusé les certificats de validation étendue:
"Ce mois-ci, nous avons abandonné EV, amélioré la vitesse de prise de contact TLS, et personne n'a dit qu'il manquait quelque chose."
«Sur le portail de paiement, nous avons remplacé le certificat EV par @letsencrypt:
- renouvellement automatique (sans processus manuel long et compliqué, réduisant le risque d'expiration)
- prix
- les gens ne se soucient pas du type de certificat
- plus souvent mise à jour - récupération plus rapide d'un éventuel compromis "
«Nous avons réalisé que les gens faisaient plus confiance au joli badge vert qu'à notre nom de société inconnu. L'épargne est un bonus. "
«Je ne suis pas d'accord pour dire que la question est dans le prix. Target et les autres géants ne se soucient pas de 1000 $ pour un certificat. Je pense que c'est une question de sensibilisation. Je sais qu'il y a 18 mois, un certificat EV semblait être une bonne idée pour mon site .org. Mais vais-je le renouveler? Non! Parce que j'ai réalisé leur insignifiance. "
"Je ne peux pas dire ce qui est devenu le principal facteur: 1. La nécessité d'un caractère générique pour augmenter la flexibilité. 2. Les coûts ne sont plus justifiables, surtout si l'on considère plusieurs sous-domaines. 3. Le manque de sensibilisation des utilisateurs signifie que presque personne n'a remarqué les changements. "
L'article est sorti longtemps, car chaque fois que je m'asseyais pour écrire, il y avait de nouvelles preuves de l'absurdité absolue de l'EV. J'ai commencé à prendre des notes bien avant certains des événements répertoriés, y compris avant la sortie de Chrome 69 et la suppression de la barre d'adresse verte, qui a tué l'un des principaux atouts du marketing EV. Cela ne veut pas dire que l'EV est la seule technologie qui est progressivement morte de mille coupures. Autrefois, ces certificats étaient un bon produit, mais maintenant une situation complètement différente - et ce n'est qu'une relique dénuée de sens d'une époque révolue. Les fabricants de navigateurs en sont conscients et agissent en conséquence. Ce n'est qu'une question de temps avant que le dernier clou ne soit enfoncé dans le cercueil EV:
Chrome Canary v70 tente de supprimer les noms de sociétés EV-SSL, je me demande si cela figurera dans la version finale?Lorsque Chrome supprime enfin l'indicateur visuel EV du navigateur (tout comme ils l'ont déjà fait sur mobile, et comme Apple l'a fait dans la ligne Safari), tout ira bien et mettra vraiment fin à EV. Peut-être que le FUD prendra finalement fin.
Je vais vous donner une dernière petite preuve de la futilité absolue de l'EV: c'est ma conférence à Londres plus tôt cette année. C'est le
moment où je commence à parler d'EV, et c'est l'interaction avec le public ici qui est indicative. Découvrez comment réagit une salle remplie de techniciens intelligents lorsque je demande quel type d'indicateurs visuels ils s'attendent à voir sur des sites populaires. Profitez-en!