Sertifikat EV sudah mati

Itu saja, saya katakan: sertifikat validasi diperpanjang sudah mati. Tentu saja, Anda masih dapat membelinya (dan beberapa perusahaan akan menjualnya kepada Anda dengan senang hati!), Tetapi manfaatnya kini telah berkurang dari “hampir” menjadi “tidak ada”. Perubahan terjadi pada sejumlah faktor, termasuk meningkatnya popularitas perangkat seluler, penghapusan indikator EV visual dari browser, dari iOS (serta dari MacOS Mojave):



Sebagai contoh, saya memilih situs web Comodo, karena mereka menunjukkan keputusasaan yang terkait dengan penjualan EV, hanya sebulan yang lalu mereka mengirimi saya surat iklan dengan judul "Cara mendapatkan bilah alamat hijau untuk situs Anda." Dalam surat itu, mereka mulai mengatakan versi "alternatif" kebenaran:



Memang, inilah yang tampak seperti Firefox hari ini, tetapi mereka benar-benar lupa menyebutkan dalam surat iklan bahwa ini adalah indikator visual murni yang sewenang-wenang, yang diserahkan kepada kebijaksanaan pengembang browser. Jelas, Apple telah membunuhnya, tetapi bahkan bagi banyak orang di Chrome, situs web Comodo sebenarnya terlihat sangat berbeda (percobaan Chrome):



Surat itu menyatakan bagaimana EV melawan phishing dan menyatakan yang berikut:

Menampilkan nama perusahaan yang terverifikasi memungkinkan Anda mengidentifikasi entitas hukum di balik situs web dengan cepat, yang menyulitkan phishing dan penipuan.

Dengan kata lain, jika kita melihat nama perusahaan, ini mengarah ke tingkat kepercayaan yang lebih tinggi, dan jika Anda membalikkan pernyataan ini, maka jika kita tidak melihat nama perusahaan, ini mengarah pada penurunan kepercayaan, bukan? Masalahnya adalah orang tidak berharap untuk melihat nama perusahaan, dan ada demonstrasi yang sangat sederhana dan efektif mengapa demikian:


Sepuluh situs terbesar di dunia: tidak ada EV di mana pun

Comodo terus meyakinkan EV tentang keefektifannya, dengan mengutip "studi terbaru":

"Sebuah studi terbaru oleh DevOps.com menemukan bahwa pelanggan 50% lebih mungkin untuk percaya dan membeli di situs dengan bilah alamat hijau."

Mereka menautkan ke halaman panjang di ComodoStore dan meskipun ini tidak secara eksplisit dinyatakan di mana pun, kata-kata itu menyiratkan bahwa penelitian itu entah bagaimana independen dan tidak memihak: "Devops.com melakukan survei," dan frasa serupa lainnya. Saya memposting tentang ini pada bulan Juli , tetapi tangkapan layar ini mengatakan semua yang perlu Anda ketahui tentang motif "survei":



Jujur saya mencoba mencari tahu pelanggan karya ini, pertama menulis kepada penulis Tony Bradley, dan tidak menerima jawaban, saya bertanya kepada @ TechSpective di Twitter, di mana dia adalah pemimpin redaksi, dan @devopsdotcom ( ngomong -ngomong, pengikut saya) yang menerbitkan survei:


Pada akhirnya, fakta yang sangat jelas dikonfirmasi oleh Tony Bradley. Dia meminta maaf atas jawaban yang terlambat karena dia jarang masuk ke Twitter dan memberi nama pelanggan, Comodo CA.


Saya ingin melihat indikasi ini dalam laporan itu sendiri, karena keterlibatan Comodo jelas mengarah pada bias. Seolah-olah sebuah perusahaan minyak memerintahkan laporan yang menyimpulkan bahwa bahan bakar fosil tidak berbahaya bagi lingkungan, atau sebuah perusahaan tembakau mengklaim bahwa merokok tidak berbahaya bagi kesehatan. Jika Anda masih berpikir bahwa DevOps.com benar-benar percaya pada "manfaat" sertifikat EV, lihat sendiri:



Sumber daya ini telah disebutkan berulang kali dalam surat penjualan Comodo, tetapi teruskan. Mereka lebih lanjut menyatakan bahwa Anda dapat "mengaktifkan bilah alamat hijau" hanya dengan membeli sertifikat EV:

"Untuk mengaktifkan bilah alamat hijau di situs Anda, Anda hanya perlu membeli dan menginstal sertifikat SSL Extended Validation (EV)."

Bukan di peramban paling populer untuk iOS di dunia:



Dan bukan di Chrome untuk Android, OS paling populer di dunia:



Mari kita lihat Microsoft Edge di iOS, dan sekali lagi hasil yang dapat diprediksi ini:



Ini adalah tangkapan layar yang sangat, sangat penting yang mengurangi nilai EV karena dua alasan utama. Pertama, hampir 2/3 dari semua tampilan halaman di dunia berasal dari perangkat seluler . Yaitu, tangkapan layar di atas menunjukkan tampilan yang berlaku yang harus dipikirkan oleh pemilik situs. Kedua, sebagai akibatnya, perusahaan tidak dapat memberi tahu pelanggan mereka untuk mengharapkan EV, karena kebanyakan dari mereka tidak akan pernah melihatnya. Apapun, Comodo menyarankan bahwa EV memiliki manfaat dari "bar keamanan hijau yang lebih panjang":

"Bilah keamanan hijau besar adalah sinyal yang sangat jelas bagi pengguna bahwa situs itu aman."

Apakah Anda tahu apa sebenarnya sinyal seperti itu? Ikon hijau di sebelah URL di Chrome di desktop! Dan jika Anda membacanya dan berpikir: "Tunggu, Chrome tidak melakukan ini lagi", maka Anda benar sekali. Ikon tidak lagi menonjol dan tidak ada kata Aman :



Perubahan Chrome 69 tertanggal 4 September tidak hanya memengaruhi DV, tetapi juga situs dengan EV:



Di sini saya mencoba untuk menekankan bahwa indikator visual tetap sepenuhnya pada kebijaksanaan pengembang browser dan berubah seiring waktu. Dengan demikian, frasa "Cara mendapatkan bilah alamat hijau di situs Anda" sekarang bahkan lebih salah daripada saat ditulis! Faktanya, satu-satunya representasi EV yang kurang lebih akurat dalam surat ini adalah pengakuan bahwa Anda tidak dapat menerima sertifikat wildcard EV . Tapi tunggu! Ada solusi yang mudah diakses, hanya sedikit lebih mahal, ini disebut sertifikat multi-domain , opsi default ini untuk Comodo Enterprise SSL Pro dengan EV Multi-Domain benar - benar akan menghemat $ 5002.44 *:



* Catatan: Anda perlu menghabiskan $ 9746.75 untuk mendapatkan penghematan ini

Untuk kejelasan, ini bukan sertifikat empat tahun. Sebagaimana ditunjukkan oleh teks di bawah ini, aturan Forum CA / B membatasi periode validitas sertifikat maksimum hingga dua tahun, dan setelah itu Anda perlu mengulangi proses verifikasi dan penerbitan secara manual. Tapi sialnya, ini tidak akan memungkinkan kita untuk menjual sertifikat selama 4 tahun!

Tetapi bagaimana jika Anda tidak memperpanjang sertifikat? Nah, Anda mendapatkan ini :



Anda mungkin berpikir: "Yah, agak jelas, sama halnya dengan DV", tetapi ada nuansa. Pertama, pengabaian perpanjangan sertifikat terjadi dengan keteraturan yang mengkhawatirkan, dan ini juga terjadi pada orang besar. Misalnya, Microsoft lupa memperbarui secure.microsoft.co.uk pada tahun 2001 . Terlalu lama Mereka tidak memperbarui sertifikat untuk domain Azure pada 2013 . Dan tentu saja, tidak hanya Microsoft yang memiliki masalah seperti itu: misalnya, HSBC lupa untuk memperbarui sertifikat pada 2008, Instagram mengalami bencana seperti itu tiga tahun lalu , dan LinkedIn tahun lalu . Ada banyak, banyak contoh lain, dan semuanya menjelaskan kebenaran umum yang sama: jika ada tugas yang penting dan berulang-ulang, otomatiskan!

Yang membawa saya ke poin kedua: pembaruan sertifikat harus otomatis, dan ini adalah sesuatu yang tidak bisa Anda lakukan jika diperlukan verifikasi identitas. Dengan sertifikat DV, otomatisasi mudah, itu adalah landasan dari Let's Encrypt dan atribut yang sangat penting dari layanan ini. Saya baru-baru ini menghabiskan beberapa waktu dengan tim pengembangan di sebuah bank besar Eropa, dan mereka serius berpikir untuk menyerah EV karena alasan ini. Bahkan, tidak hanya karena alasan ini, masih ada risiko bahwa mereka harus mendapatkan sertifikat baru dengan sangat cepat (misalnya, karena kunci yang dikompromikan), yang jauh lebih sulit untuk EV daripada untuk DV. Selain itu, sertifikat jangka panjang sebenarnya menciptakan risiko tambahan karena prosedur pencabutan yang rusak , sehingga pengulangan yang cepat (misalnya, sertifikat Mari Enkripsi berlaku selama 3 bulan) menjadi keuntungan. Sertifikat yang berlaku selama dua tahun bukan merupakan keuntungan, kecuali dalam hal menghasilkan uang ...

(Secara paradoks, kisah LinkedIn di tautan di atas terhubung ke TheSSLStore.com, yang merupakan reseller sertifikat. Anda memahami risikonya, tetapi alih-alih menawarkan otomatisasi sebagai bagian dari solusi pembaruan sertifikat, mereka menawarkan solusi yang "skala ke tingkat perusahaan" dari pusat-pusat sertifikasi seperti Comodo, yang, tentu saja, mendorong EV. Tidak disebutkan Let's Encrypt. Dia dikritik keras karena menerbitkan sertifikat ke situs phishing (dengan verifikasi nama domain yang benar), meskipun Comodo mengeluarkan jumlah yang sama !

Kurangnya dukungan wildcard adalah salah satu alasan teknis utama mengapa EV harus dihindari (alasan lain kebanyakan hanya akal sehat), dan mengisi bidang subjectAltName hampir tidak bisa disebut alternatif yang cukup. Misalnya, kami memiliki sertifikat wildcard di situs web URI Laporan kami, sehingga Anda dapat mengirim laporan ke https: // [nama perusahaan saya] .report-uri.com, dan kami memiliki ratusan subdomain semacam itu. Comodo akan dengan senang hati mendukung skala ini:



Selain fakta bahwa Scott Helm dan saya benar-benar tidak memiliki $ 808 ribu, ini juga jauh dari sertifikat wildcard nyata, karena pada saat dikeluarkan, Anda harus menentukan semua nama host alih-alih pemeliharaan dinamis.

Dan poin terakhir dalam surat pemasaran ini adalah janji jaminan:



Itu tautan langsung ke halaman dengan sertifikat EV multi-domain super mahal dan bahkan tidak mencoba menjelaskan esensi dari jaminan, yang agak aneh. Tapi ini bisa dimengerti, karena tidak ada yang benar-benar tahu apa jaminan itu dan apakah ada yang mengajukan setidaknya satu kali . Serius - ini seharusnya bukan pernyataan sembrono, Scott dan saya jujur ​​mencoba untuk mencari tahu ini di awal tahun - dan tidak bisa mendapatkan jawaban langsung. Ketika saya berhasil masuk ke dialog, mereka menuduh saya "keluar dari kutu buku":


Dialog:
Andreas Mullek : Andy, orang-orang ini tidak mau mengakui perbedaan mereka - mereka terlalu kutu buku untuk mengerti bahwa orang normal memiliki kebutuhan yang berbeda dari orang di kutu buku. Nerdville sudah cukup bagi saya, saya kembali untuk menangani masalah klien saya dari dunia normal. Sampai ketemu lagi.
Troy Hunt : Andreas, saya mengajukan pertanyaan yang sangat masuk akal dan ini penting, karena sertifikat dijual dengan jaminan, dan saya mencoba memahami apa artinya ini. Pelanggan nyata ingin tahu apa yang dicakup garansi ini dan apakah ada contoh penggunaan yang didokumentasikan? Apakah kamu tahu tentang mereka?

Dari semua akun, ini adalah jawaban yang sangat tidak terduga bukan dari siapa pun, tetapi dari CEO CertCentre , karena ia tampaknya menjadi yang pertama menghargai pentingnya jaminan sertifikat (asalkan itu benar-benar penting, tentu saja). Jika Anda membayar perusahaan semacam itu untuk produk dengan seperangkat fungsi yang dinyatakan, maka menjadi "kutu buku" adalah normal untuk bertanya bagaimana fungsi-fungsi ini bekerja, dan ini seharusnya tidak menyebabkan ejekan dari orang yang menjalankan perusahaan ini. Sayangnya, alih-alih menjawab pertanyaan, Andreas menerapkan metode burung unta yang telah dicoba dan diuji:



Yang benar-benar menimbulkan pertanyaan adalah bahwa jaminan tersebut dijual untuk mendapatkan uang (tentu saja, Anda tidak menerima jaminan dengan sertifikat Let's Encrypt), tetapi mereka tidak siap untuk menjelaskan apa sebenarnya yang Anda dapatkan dari uang Anda. CertCentre juga secara aktif mempromosikan jaminan sebagai "elemen tingkat keamanan tertinggi" :



Tetapi teman-teman, jika Anda bahkan tidak bisa mengeja kata Garansi dengan benar, apa peluang sebenarnya untuk memahami apa yang dilakukannya?!

Paku lain di peti mati EV adalah laporan semi-tahunan Scott Alexa Top 1M dari bulan lalu. Ini memberikan statistik yang mendorong pada transisi situs dari HTTP ke HTTPS:



Situs HTTPS sudah 52%, yang sangat bagus untuk Internet secara keseluruhan. Tapi saya tertarik dengan komentar tentang EV:

"Meskipun pertumbuhan kuat dalam HTTPS di juta situs pertama, tidak ada peningkatan dalam pangsa sertifikat EV."

Dalam angka: pada bulan Februari 366 005 situs mengalihkan permintaan HTTP ke HTTPS dan 19.802 di antaranya menggunakan sertifikat EV, yang merupakan 5,41% dari situs HTTPS. Pada bulan Agustus, 489.293 dialihkan ke HTTPS, dan 25.158 di antaranya memiliki sertifikat EV, yaitu 5,14%. Dengan kata lain, pangsa pasar EV menurun sekitar 5%.

(Catatan: 489.293 memang merupakan 52% dari sampel juta, karena 47.000 situs tidak dipindai dan dikeluarkan dari statistik).

Ternyata banyak situs yang sebenarnya menolak sertifikat EV. Sebulan yang lalu, Scott memberikan daftar terperinci dari situs-situs utama yang menggunakan EV sebelumnya : Shutterstock, Target, UPS, dan kepolisian Inggris. Sekitar waktu yang sama, saya perhatikan bahwa bahkan Twitter pun mengabaikan EV.

Kisah Twitter agak aneh, karena sebenarnya Anda bisa melihat apakah mereka memiliki sertifikat EV di situs mereka, tergantung pada lokasi Anda. Ini juga mengatakan sesuatu tentang efektivitas EV: jika mereka siap untuk menghapus atau menambahkannya, maka orang tidak akan berperilaku berbeda dan mempercayai situs tanpa EV lebih sedikit. Tapi ini adalah fondasi di mana mekanik EV dibangun!

Tidak hanya Comodo dan CertCentre melakukan kampanye disinformasi, tetapi juga banyak lainnya, misalnya:


Selain memilih browser historis (berapa usia gambar ini?!), Pernyataan berikut dibuat dalam artikel dengan referensi :

"Pakar keamanan web merekomendasikan penggunaan sertifikat EV SSL untuk platform seperti e-commerce, bank, media sosial, layanan kesehatan, platform pemerintah dan asuransi."

Saya tidak yakin siapa yang mereka maksud dengan kata-kata pertama, tetapi saya tahu bahwa selain dari bank, pernyataan ini tidak menahan air untuk industri lain. Mudah untuk menunjukkan betapa salahnya fundamental itu.

Berikut adalah situs e-commerce terbesar di dunia . Klik pada masing-masing dan periksa apakah mereka memiliki EV:

1. Amazon
2. Netflix
3. eBay

Anda dapat mengatakan bahwa Alexa secara tidak benar mengklasifikasikan Netflix sebagai situs e-commerce, lalu lihat walmart.com, yang paling populer berikutnya, dan dapatkan hasil yang sama. Tidak ada EV.

Kami melanjutkan. Situasinya sama dengan media sosial :

1. Facebook
2. Twitter
3. LinkedIn

Seperti dibahas sebelumnya, Twitter memiliki sedikit krisis identitas dalam hal apakah ia mendukung EV, jadi periksalah situs web terbesar keempat untuk ketepatan: Pinterest .

Di situs layanan kesehatan paling populer di dunia, hal yang sama:

1. Institut Kesehatan Nasional
2. Webmd
3. Klinik Mayo

Tidak ada EV. Umumnya. Bukan satu hal pun.

Saya tidak dapat menemukan daftar yang jelas dari situs web pemerintah terbesar, jadi saya mengambil data dari penjelajahan 1M malam Scotta Alexa Top dan memilih situs terbesar di zona .gov. National Institute of Health adalah yang terbesar, tetapi kami telah memeriksanya, jadi kami mengambil tiga berikut:

1. Badan Identifikasi Unik India (yang memiliki masalah mendasar lainnya dengan dukungan HTTPS )
2. Kantor Pajak India
3. GOV.UK

Sekarang, Anda telah menyadari bahwa kesempatan untuk bertemu EV setidaknya di suatu tempat minimal. Anda benar - bukan hit tunggal.

Akhirnya, situs asuransi teratas :

1. Asosiasi Layanan Mobil United
2. Kaiser secara permanen
3. Geico

Kami menemukan satu! USAA benar-benar memiliki sertifikat EV! Dua lainnya tidak, tapi setidaknya ada sesuatu, kan?

Jika "pakar keamanan web" merekomendasikan EV untuk kelas situs ini, maka jelas situs ini tidak mendengarkannya. Jadi rekomendasi semacam itu sifatnya puitis.

Seperangkat klaim yang tidak berdasar tentang SSL adalah bahwa EV "meningkatkan konversi transaksi", "mengurangi keberangkatan dari keranjang belanja" dan "melindungi terhadap serangan phishing." Anda dapat memahami mengapa mereka membuat pernyataan seperti itu: alasannya terlihat dalam bentuk tombol tepat di bawah teks:



Jadi, kami kembali ke bias yang jelas. Tapi hei, mereka hanya mencoba berbisnis, jadi saya mengerti motifnya. Kita juga dapat berasumsi bahwa memulai bisnis seperti itu mereka sendiri ingin meningkatkan konversi, bukan? Ini lucu:



Bahkan penjual EV sendiri cukup pintar untuk tidak menghabiskan uang untuk itu! Selain itu, kita ingat bahwa "bilah alamat hijau" itu sendiri sekarang telah benar-benar menghilang berkat peramban paling populer di dunia, yang membunuhnya dalam versi 69.

Ada argumen dengan phishing. Sering diklaim bahwa EV entah bagaimana menguranginya. Inilah yang dinyatakan pada slide dari presentasi Entrust dari awal tahun ini:



Ada banyak penipuan, dan untuk analisis yang terbaik adalah membaca utas ini dari Ryan Slevy. Dia menganalisis studi yang menjadi dasar slide.

Ryan adalah seorang cryptographer yang sangat pintar yang bekerja pada Chromium, dan ia memiliki kemampuan yang sangat baik untuk secara jelas mengekspos omong kosong apa pun ke air jernih. Pada akhirnya, ia merangkum situasinya : “Secara umum, ini adalah artikel yang buruk. Tetapi yang lebih buruk, mereka mencoba menganggapnya sebagai penelitian "berbasis data". Mereka menggunakan metodologi yang salah dan pendekatan selektif untuk mendukung model bisnis yang bergantung pada pengguna yang hanya bertanggung jawab untuk mendeteksi perubahan antarmuka pengguna. "

Artinya, kita kembali ke fakta bahwa EV akan efektif hanya jika orang mengubah perilaku mereka karena perubahan di UI. Pada kenyataannya, orang-orang tidak tahu harus memperhatikan apa, dan perubahan ini sendiri umumnya secara bertahap tidak ada lagi. Atau perubahan itu terlalu kecil bagi orang untuk memperhatikannya. Ingat screenshot pertama di artikel di mana browser Safari tidak lagi menampilkan nama perusahaan terdaftar di sertifikat EV? Bandingkan dengan tangkapan layar blog saya, juga buka di Safari di iOS 12:



Lihat perbedaannya? URL situs EV dan kastil di sebelahnya sekarang berwarna hijau, sedangkan situs DV berwarna hitam. Jadi sekarang, untuk membuat ekspektasi yang sesuai bagi pengguna, mereka perlu memberi tahu mereka untuk mencari URL hijau dan kunci ... kecuali mereka menggunakan Chrome, yang umumnya menghapus semua elemen hijau! Jelas, itu konyol untuk menjelaskan kepada pengguna nuansa seperti itu di browser, terutama mengingat kecepatan perubahan mereka.

Kembali ke situs Tentang SSL, ada video di mana seorang pembicara menjelaskan manfaat EV pada poin yang sama yang kami ulas. Video selama sekitar 6 menit, jika Anda memiliki kesabaran untuk menonton:


Kita bisa langsung ke yang menarik, misalnya, ketika moderator (dan manajer pemasaran produk Comodo ) berbicara tentang kekritisan EV untuk transaksi keuangan:

“Pada saat yang paling kritis, ketika mereka memutuskan apakah akan melakukan transaksi, indikator visual yang mencolok ini (garis hijau EV) dengan informasi yang mengkonfirmasi nama perusahaan, lokasi, dan lembaga sertifikasi memberikan kepercayaan yang diperlukan untuk membuat keputusan.”

Tesis ini diperkuat oleh tangkapan layar situs web Excalibur Cutlery & Gifts : Anda



mungkin sudah merasa akan ... dan Anda benar:



Tidak EV. Tidak ada DV komersial sama sekali, tetapi sertifikat Let's Encrypt gratis yang sepenuhnya normal . Video ini seperti dari era kuno: di dalamnya situs terbuka di IE8 pada Windows XP ... Saya tidak bisa melakukan apa-apa, tetapi ada perasaan bahwa situasinya agak ... ketinggalan jaman. Ternyata itu adalah:



Saya tidak akan mulai mengevaluasi video hampir sepuluh tahun yang lalu dari posisi hari ini, tetapi tesis yang sama diungkapkan di sana seperti saat ini. Dan tentu saja, artikel dengan video ini direferensikan oleh tweet yang diterbitkan sebulan lalu dengan kedok "Panduan Penting untuk Sertifikat Verifikasi SSL Lanjut," jadi semuanya adil.

Ini bukan pertama kalinya Comodo menggunakan situs EV untuk mempromosikan EV yang kekurangan EV. Baru-baru ini, seseorang menunjukkan kepada saya sepucuk surat dari Comodo yang mengingatkan saya tentang pembaruan domain:



Secara alami, ia menjadi tertarik dengan Mostlydead.com dan ingin melihat bagaimana "peningkatan penjualan 20%" sedang terjadi (menurut Ken Crease). Anda mengerti, karena EV "meningkatkan kepercayaan konsumen." Sepertinya tidak lebih:



Semakin Anda mempelajari topik, semakin Anda yakin bahwa EV ... hampir mati. Bagaimanapun, ini bukan hanya situs acak yang beralih dari EV ke DV. Ini adalah situs yang dipilih secara khusus untuk menunjukkan nilai EV! Ini harus menjadi contoh nilai EV, dan Comodo telah menggembar-gemborkannya hingga hari ini. Namun, kita melihat bahwa Ken Crease telah mengubah pikirannya tentang keefektifan EV (dan mungkin dia tidak pernah memiliki pendapat seperti itu).

Situasi dengan EV mulai terlihat seperti ini:



Tapi kami belum selesai: Saya ingin menyebutkan situs lain yang dulu memiliki sertifikat EV, dan sekarang telah kembali ke DV. Ini adalah situsnya:


Catatan Penerjemah: TIB Hunt meluncurkan situs HIBP dengan database akun yang dicuri.

Saya mengubah sertifikat sehari sebelum kemarin, dan sejauh ini belum ada yang menyebutkannya. Tidak ada Bukan satu jiwa, tetapi audiens saya lebih berpengalaman dalam hal-hal seperti itu daripada pengguna rata-rata Anda. Secara alami, tidak ada kekurangan orang yang bisa melihat perubahan selama periode ini:



Hampir dua tahun yang lalu, saya menulis tentangperjalanannya ke dunia sertifikat EV . Seperti dalam banyak artikel saya, di sini saya belajar sambil jalan; Saya ingin melalui proses sertifikasi EV sendiri (orang lain selalu melakukan ini sebelumnya), dan saya ingin melihat apakah itu benar-benar penting. Saat itu, sejujurnya saya tidak mengerti dan mengakhiri artikel seperti ini:

“Semua hal yang disertifikasi EV ini sulit diukur dari segi nilai. Saya tidak tahu berapa banyak lagi orang yang akan memeriksa alamat email mereka di layanan, berapa banyak liputan media atau sumbangan yang akan dia terima. Umumnya tanpa petunjuk. "

Dua tahun kemudian, saya cukup yakin dengan kesimpulannya: tidak ada nilai. Tetapi ini tidak berarti bahwa ada kelemahan dalam memiliki sertifikat seperti itu, tidak ada keuntungan. Ketika tanggal pembaruan mendekati (14 Desember), saya menelepon dan meminta untuk menariknya terlebih dahulu untuk kembali ke rilis Cloudflare gratis. Sama sekali tidak ada alasan untuk membayar pembaruan (saya langsung membayar $ 472 untuk sertifikat dua tahun), dan tidak ada alasan untuk menunggu kadaluwarsa, kecuali untuk keengganan terhadap kerugian , dan memiliki arti yang sama dengan sertifikat EV.

Saya sering bertanya-tanya apa gunanya membayar untuk sertifikat EV atau DV di era sertifikat yang tersedia secara bebas. Saya mengunjungi banyak perusahaan di seluruh dunia untuk membahas HTTPS, dan ketika saya mencoba menyelidiki masalah ini, saya secara teratur mendengar ungkapan "Belum ada yang dipecat karena membeli IBM." Saya mencari tautan yang bagus untuk menjelaskan arti dari frasa ini - dan menemukan yang bagus dalam definisi FUD dari Wikipedia :

“Dengan menyebarluaskan informasi yang meragukan tentang kekurangan produk yang kurang dikenal, perusahaan yang mapan dapat mencegah pengambil keputusan memilih produk-produk ini, bukan produk mereka sendiri, terlepas dari manfaat teknis relatifnya. Ini adalah fenomena yang diakui diwujudkan oleh aksioma tradisional agen pembelian bahwa "belum ada yang dipecat karena pembelian peralatan IBM." Tujuannya agar TI membeli perangkat lunak yang secara teknis lebih rendah karena manajemen puncak lebih cenderung mengenali merek. ”

Dengan kata lain, orang membuat keputusan tanpa informasi tentang apa yang mereka anggap "aman" karena FUD pemasaran. Saya menduga bahwa perusahaan dengan segel keamanan pihak ketiga di situs mereka memiliki mental yang sama. Mereka tidak memiliki pengetahuan dan pemahaman yang cukup bahwa mereka sebenarnya dapat meningkatkan risiko , tetapi sial, mereka diiklankan seperti itu!

Jadi ya - tidak ada lagi EV tentang HIBP, dan tidak ada yang akan merindukannya, yang sepenuhnya konsisten dengan pengalaman orang lain yang menolak sertifikat perpanjangan validasi:

"Bulan ini, kami menyerah EV, meningkatkan kecepatan jabat tangan TLS, dan tidak ada yang mengatakan ada sesuatu yang hilang."

“Di portal pembayaran, kami mengganti sertifikat EV dengan @letsencrypt:
- pembaruan otomatis (tanpa proses manual yang panjang dan rumit, mengurangi risiko kedaluwarsa)
- harga
- orang tidak peduli dengan jenis sertifikat
- lebih sering memperbarui - pemulihan lebih cepat dari kemungkinan kompromi "

“Kami menyadari bahwa orang lebih percaya pada lencana hijau yang cantik daripada nama perusahaan kami yang tidak dikenal. Menabung adalah bonus. "

“Saya tidak setuju bahwa masalahnya ada pada harga. Target dan raksasa lainnya tidak peduli sekitar $ 1.000 untuk sertifikat. Saya pikir ini tentang kesadaran. Saya tahu bahwa 18 bulan yang lalu sertifikat EV sepertinya ide yang bagus untuk situs .org saya. Tetapi apakah saya akan memperbaruinya? Tidak! Karena saya menyadari tidak ada artinya mereka. "

“Saya tidak bisa mengatakan apa yang menjadi faktor utama: 1. Kebutuhan akan wildcard untuk meningkatkan fleksibilitas. 2. Biaya tidak lagi dapat dibenarkan, terutama mengingat beberapa subdomain. 3. Kurangnya kesadaran pengguna berarti bahwa hampir tidak ada orang yang memperhatikan perubahan. "

Artikel itu terbit panjang, karena setiap kali saya duduk untuk menulis, ada bukti baru tentang ketidakberartian absolut EV. Saya mulai membuat catatan jauh sebelum beberapa peristiwa yang terdaftar, termasuk sebelum rilis Chrome 69 dan penghapusan bilah alamat hijau, yang menewaskan salah satu kartu truf utama pemasaran EV. Ini bukan untuk mengatakan bahwa EV adalah satu-satunya teknologi yang secara bertahap mati karena ribuan luka. Dulu sertifikat semacam itu adalah produk yang bagus, tetapi sekarang situasi yang sama sekali berbeda - dan ini hanyalah peninggalan yang tidak berarti dari masa lalu. Pembuat browser menyadari hal ini dan bertindak sesuai. Hanya masalah waktu sebelum paku terakhir didorong ke peti mati EV:


Chrome Canary v70 sedang mencoba menghapus nama perusahaan EV-SSL, saya ingin tahu apakah ini akan menjadi rilis final?

Ketika Chrome akhirnya menghapus indikator EV visual dari browser (sama seperti yang sudah mereka lakukan di ponsel, dan seperti Apple di Safari), itu akan baik-baik saja dan benar-benar mengakhiri EV. Mungkin FUD akhirnya akan berakhir.

Saya akan memberikan satu bukti kecil terakhir tentang kesia-siaan EV: ini adalah kuliah saya di London awal tahun ini. Ini adalah saat ketika saya mulai berbicara tentang EV, dan itu adalah interaksi dengan audiens yang bersifat indikatif. Lihat bagaimana ruangan yang penuh dengan teknisi cerdas bereaksi ketika saya menanyakan indikator visual seperti apa yang mereka harapkan di situs populer. Selamat menikmati!