Di versi baru Chrome 77 dan Firefox 70 (keluar 22 Oktober), sertifikat-EV dengan verifikasi yang diperluas telah kehilangan tempat biasanya di bilah alamat . Sekilas, mereka tidak berbeda dengan sertifikat DV biasa yang memvalidasi domain. Informasi tambahan tentang perusahaan diungkapkan hanya dengan menekan ikon kunci, tetapi tidak di bilah alamat.


Seperti inilah tampilan informasi sertifikat SSL SSL di Firefox 70

Pengkritik industri senang bahwa "perdagangan udara" akan berhenti . Tetapi pendaftar sendiri percaya bahwa EV SSL terlalu dini untuk dikubur.

Sertifikat Validasi Tingkat Lanjut

Extended Validation Certificate (Extended Validation, EV) - Jenis sertifikat HTTPS di mana otoritas sertifikasi melakukan verifikasi tambahan dari pemilik domain dengan menghubungkan domain ke badan hukum. Prosedur itu sendiri dapat memakan waktu hingga dua minggu. Mirip dengan standar perbankan Know Your Client , alamat dan nomor telepon perusahaan diverifikasi. Informasi ini kemudian disematkan dalam sertifikat dan diverifikasi oleh tanda tangan digital dari otoritas sertifikasi.

  CN = www.bankofamerica.com
 SERIALNUMBER = 2927442
 2.5.4.15 = Organisasi Pribadi
 O = Bank of America Corporation
 1.3.6.1.4.1.311.60.2.1.2 = Delaware
 1.3.6.1.4.1.311.60.2.1.3 = AS
 L = Chicago
 S = illinois
 C = AS 

Sertifikat DV biasa hanya mengkonfirmasi bahwa pemilik mengontrol domain yang ditentukan dalam sertifikat. Pada saat yang sama, otoritas sertifikasi tidak memiliki petunjuk yang memiliki domain dan tidak dapat menghubungi itu:

  CN = whoami.com 

Ini sebenarnya sertifikat anonim, hanya berguna untuk mengenkripsi lalu lintas melalui HTTPS. Mereka tidak menunjukkan keamanan situs dengan cara apa pun: siapa pun dapat memperoleh sertifikat seperti itu melalui prosedur otomatis.

Sebelumnya, sebagian besar browser menampilkan nama badan hukum dan yurisdiksi secara langsung di bilah alamat, di sebelah URL, seperti yang ditunjukkan pada ilustrasi di bawah ini.


UI sebelumnya untuk menampilkan sertifikat EV di Firefox, Safari, dan browser Chrome

Safari adalah yang pertama meninggalkan praktik ini. Dia berhenti menampilkan nama badan hukum, dan di hadapan sertifikat-EV, domain berubah menjadi hijau. Lalu antarmuka Chrome berubah.


Chrome 76


Chrome 77

Pada 22 Oktober 2019, versi final Firefox 70 direncanakan dengan perubahan yang sama.


Firefox 69


Firefox 70

Perlu dicatat bahwa pedoman CA / Browser Forum untuk EV (Bagian 2) secara khusus menunjukkan bahwa tujuan utama dari sertifikat EV adalah untuk memberi tahu pengguna mengenai identifikasi hukum bisnis yang dengannya mereka berinteraksi melalui situs web. Tujuan kedua adalah memerangi phishing dan jenis aktivitas web jahat lainnya.

Mengapa browser menghapus indikator EV SSL

Alasan utamanya adalah keinginan pengembang untuk mengoptimalkan antarmuka browser, karena bilah alamat yang panjang tidak sesuai dengan layar perangkat seluler. Namun, mereka tidak bisa mengorbankan keamanan demi kenyamanan. Google memprakarsai studi khusus, berdasarkan kesimpulan bahwa penolakan terhadap EV masih tidak mengurangi keamanan. Studi ini menyalakan lampu hijau sebelum mengubah UI, yang diperlukan oleh pengembang antarmuka untuk kenyamanan pengguna.

Ini adalah studi oleh ahli desain antarmuka dan keamanan Google (grup Chrome Security UX). Mereka menyimpulkan bahwa "EV UI tidak memberikan perlindungan pengguna dengan benar."

Google mencatat bahwa "lencana EV menempati ruang layar yang berharga, dapat menampilkan nama perusahaan palsu di antarmuka pengguna, dan mencegah Chrome bergerak ke arah netral dan bukan indikasi positif dari koneksi aman." Menurut logika para pakar UX Chrome Security, garis dengan sertifikat EV adalah indikasi positif TLS, sementara indikasi netral lebih efektif dalam hal dampak pada pengguna. Oleh karena itu, di masa depan, situs dengan HTTPS akan kehilangan ikon "kunci", dan untuk situs tanpa HTTPS, peringatan keamanan akan ditampilkan. Ini akan mendorong semua situs untuk menginstal sertifikat SSL.

Sebuah studi Google mencatat kelemahan sertifikat EV:

• EV tidak menjamin bahwa perusahaan yang diverifikasi tidak melanggar hukum, menjalankan bisnis yang jujur, bahwa itu benar-benar aman dan dapat dipercaya.
  
• EV tidak melindungi dari phising karena pengguna tidak mengintipnya. Secara khusus, mereka tidak memperhatikan kode negara untuk perusahaan tempat sertifikat EV terdaftar, yang dapat digunakan untuk penipuan.
  
  
  Heatmap tentang distribusi perhatian pengguna Chrome ketika mendemonstrasikan sertifikat EV dengan yurisdiksi yang berbeda, dari studi kelompok UX Keamanan Chrome
  
• Penyerang dapat memperoleh sertifikat EV untuk perusahaan dengan nama yang sama.
  
• Nama resmi perusahaan terkadang menyesatkan, tidak sesuai dengan nama situs. Misalnya, layanan keuangan pribadi mint.com memiliki sertifikat EV yang dikeluarkan oleh Intuit Inc.

Apa yang memberi cek diperpanjang

Dewan Keamanan CA menganggap kesalahan untuk menghapus EV dari bilah alamat. Suatu organisasi yang menyatukan sejumlah otoritas sertifikasi terkemuka membawa alasan - alasan berikut:

1. Hanya sertifikat EV yang dapat mengonfirmasi bahwa situs milik perusahaan tertentu . Tidak mungkin melindungi data pengguna rahasia jika kita tidak tahu perusahaan mana yang memiliki domain.

2. Perlindungan terhadap phishing . Studi menunjukkan bahwa penyerang secara aktif menggunakan sertifikat DV, memesannya dalam ribuan secara gratis melalui prosedur anonim otomatis.

Akibatnya, phishing secara besar-besaran beralih ke sertifikat DV. FBI telah mengeluarkan peringatan bahwa pengguna tidak boleh mempercayai ikon kunci HTTPS atau indikator hijau di browser , karena setengah dari situs phishing menunjukkan indikator seperti itu .

Pada saat yang sama, mendapatkan sertifikat EV sulit bagi penipu.



Berikut adalah hasil studi dari 3494 situs phishing dengan sertifikat SSL pada Februari 2019:

• EV: 0 situs phishing (0%)
  
• OV: 145 situs phishing (4,15%), kebanyakan sertifikat multi-domain CDN multi-SAN seperti Cloudflare
  
• DV: 3349 situs phishing (95,85%)

Filter antiphishing browser tidak dapat mengatasi ancaman. Sebuah studi NSS Labs dari Oktober 2018 menunjukkan bahwa Penjelajahan Aman Google sejak awal hanya mengakui 79% situs phishing . Persentase ini meningkat menjadi 95% dalam dua hari, tetapi pada saat ini sebagian besar situs ini berhenti bekerja, setelah menyelesaikan tugas mereka.



3. Dewan Keamanan CA menganggap tesis Google bahwa dimungkinkan untuk menolak indikator EV dengan alasan bahwa pengguna tidak menganggapnya sebagai indikator keamanan positif sebagai kesalahan . Pertama, pengguna yang lebih memenuhi syarat masih mengetahui perbedaan dalam jenis sertifikat. Kedua, akan bermanfaat untuk melakukan upaya untuk menginformasikan pengguna yang kurang berkualitas yang tidak memahami perbedaan antara DV dan EV. Ketiga, persepsi pengguna tergantung pada konteks: orang tidak memperhatikan langkah-langkah sederhana seperti sabuk pengaman di mobil dalam kondisi nyaman normal, tetapi ini bukan alasan untuk menolak sabuk pengaman.

4. Tidak cukup hanya mengandalkan URL phishing. Bahkan sebuah studi Google mencatat bahwa pengguna kesulitan menganalisis URL dan sering gagal untuk menemukan kesalahan dan kesalahan ketik pada situs phishing. Pada saat yang sama, indikator EV tidak memerlukan analisis URL.

Dewan Keamanan CA percaya bahwa kekurangan sertifikat EV saat ini adalah alasan untuk meningkatkannya, bukan alasan penolakan. Statistik menunjukkan bahwa sertifikat EV paling baik menghilangkan situs phishing. Untuk menggunakannya secara efektif, browser harus menyetujui tampilan standar , Dewan Keamanan mengatakan, lagi-lagi mengutip analogi dari dunia otomotif: jika tanda Stop berbeda dari satu negara ke negara lain dan dari negara ke negara, dan driver tidak mengerti artinya, maka ini bukan alasan hapus tanda berhenti dari semua jalan karena mereka tidak efektif.

Meskipun perubahan visual pada browser, EV tetap merupakan indikator keamanan yang dapat diandalkan. Dia masih mengkonfirmasi keabsahan badan hukum, baru saja informasi ini pindah ke tempat lain. Pengguna harus mengklik ikon kunci untuk melihat informasi ini.

Jadi rumor tentang kematian sertifikat EV terlalu dini. Kemungkinan para pakar dan perancang keamanan akan memahami masalah ini dan menyesuaikan antarmuka. Sekarang masalah ini sedang dibahas dengan pengembang peramban.

---