Nas novas versões do Chrome 77 e Firefox 70 (a partir de 22 de outubro), os certificados EV com verificação estendida perderam seu lugar usual na barra de endereços . Agora, à primeira vista, eles não são diferentes dos certificados DV comuns que validam um domínio. Informações adicionais sobre a empresa são divulgadas apenas pressionando o ícone de cadeado, mas não na barra de endereço.


É assim que as informações do certificado SSL SSL se parecem no Firefox 70

Os críticos da indústria estão satisfeitos com o fim do "comércio aéreo" . Mas os próprios registradores acreditam que o EV SSL é muito cedo para enterrar.

Certificados de validação avançada

Certificado de validação estendida (Validação estendida, EV) - um tipo de certificado HTTPS no qual uma autoridade de certificação executa uma verificação adicional de um proprietário de domínio vinculando o domínio a uma entidade legal. O procedimento em si pode levar até duas semanas. Semelhante aos padrões bancários Conheça o seu cliente , o endereço e o número de telefone da empresa são verificados. Essas informações são incorporadas ao certificado e verificadas por uma assinatura digital da autoridade de certificação.

  CN = www.bankofamerica.com
 SERIALNUMBER = 2927442
 2.5.4.15 = Organização privada
 O = Corporação do Bank of America
 1.3.6.1.4.1.311.60.2.1.2 = Delaware
 1.3.6.1.4.1.311.60.2.1.3 = US
 L = Chicago
 S = illinois
 C = US 

Certificados DV comuns simplesmente confirmam que o proprietário controla o domínio especificado no certificado. Ao mesmo tempo, a autoridade de certificação não tem idéia de quem é o proprietário do domínio e não pode contatá-lo:

  CN = whoami.com 

Na verdade, são certificados anônimos, úteis apenas para criptografar o tráfego por HTTPS. Eles não indicam a segurança do site de forma alguma: qualquer pessoa pode obter esse certificado por meio de um procedimento automatizado.

Anteriormente, a maioria dos navegadores exibia o nome da entidade legal e da jurisdição diretamente na barra de endereços, ao lado do URL, conforme mostrado na ilustração abaixo.


UI anterior para exibir certificados EV nos navegadores Firefox, Safari e Chrome

O Safari foi o primeiro a abandonar essa prática. Ele parou de exibir o nome da entidade legal e, na presença de um certificado EV, o domínio simplesmente fica verde. Então a interface do Chrome mudou.


Chrome 76


Chrome 77

Em 22 de outubro de 2019, a versão final do Firefox 70 está planejada com a mesma alteração.


Firefox 69


Firefox 70

Note-se que as diretrizes do CA / Browser Forum for EV (Seção 2) indicam especificamente que o principal objetivo dos certificados EV é informar aos usuários a identificação legal da empresa com a qual eles interagem através do site. O objetivo secundário é combater o phishing e outros tipos maliciosos de atividade na web.

Por que os navegadores removeram o indicador EV SSL

O principal motivo é o desejo dos desenvolvedores de otimizar a interface do navegador, já que a barra de endereços longa não se encaixa nas telas dos dispositivos móveis. No entanto, eles não podiam sacrificar a segurança por conveniência. O Google iniciou um estudo especial, com base no qual concluiu que a rejeição do VE ainda não reduz a segurança. Este estudo acendeu uma luz verde antes de alterar a interface do usuário, exigida pelos desenvolvedores de interface para conveniência do usuário.

Este é um estudo dos especialistas em design de interface e segurança do Google (grupo Chrome Security UX). Eles concluíram que "a interface do usuário do EV não fornece proteção ao usuário corretamente".

O Google observa que "o emblema do VE ocupa um espaço valioso na tela, pode exibir nomes de empresas falsos na interface do usuário e impede que o Chrome se mova em direção a uma indicação neutra, e não positiva, de conexões seguras". De acordo com a lógica dos especialistas do Chrome Security UX, a linha com o certificado EV é uma indicação positiva do TLS, enquanto a indicação neutra é mais eficaz em termos de impacto nos usuários. Portanto, no futuro, sites com HTTPS serão privados do ícone "bloqueio" e, para sites sem HTTPS, um aviso de segurança será exibido. Isso incentivará todos os sites a instalar certificados SSL.

Um estudo do Google observou as fraquezas dos certificados EV:

• O EV não garante que a empresa verificada não viole a lei, conduza um negócio honesto, que seja verdadeiramente seguro e confiável.
  
• Os EVs não protegem contra phishing porque os usuários não os observam. Em particular, eles não prestam atenção ao código do país da empresa para a qual o certificado EV está registrado, o que pode ser usado para fraude.
  
  
  Mapa de calor da distribuição de atenção dos usuários do Chrome ao demonstrar certificados EV em diferentes jurisdições, a partir de um estudo do Chrome Security UX
  
• Os invasores podem obter um certificado EV para uma empresa com um nome semelhante.
  
• O nome legal da empresa às vezes é enganoso, não coincidindo com o nome do site. Por exemplo, o serviço de finanças pessoais do mint.com possui um certificado EV emitido pela Intuit Inc.

O que dá uma verificação estendida

O Conselho de Segurança da CA considera um erro remover o VE da barra de endereço. Uma organização que reúne várias autoridades de certificação líderes traz os seguintes motivos :

1. Somente um certificado EV pode confirmar que um site pertence a uma empresa específica . Não é possível proteger os dados confidenciais do usuário se não soubermos qual empresa possui o domínio.

2. Proteção contra phishing . Estudos mostram que os invasores usam ativamente os certificados DV, ordenando-os aos milhares gratuitamente através de um procedimento anônimo automatizado.

Como resultado, o phishing mudou massivamente para certificados DV. O FBI já emitiu um aviso de que os usuários não devem confiar no ícone de cadeado HTTPS ou no indicador verde no navegador , pois metade dos sites de phishing mostra esse indicador .

Ao mesmo tempo, obter um certificado EV é difícil para os fraudadores.



Aqui estão os resultados de um estudo de 3494 sites de phishing com certificados SSL em fevereiro de 2019:

• EV: 0 sites de phishing (0%)
  
• OV: 145 sites de phishing (4,15%), principalmente certificados de vários domínios CDN com várias SAN, como o Cloudflare
  
• DV: 3349 sites de phishing (95,85%)

Os filtros antiphishing do navegador não podem lidar com a ameaça. Um estudo da NSS Labs de outubro de 2018 mostrou que a Navegação segura do Google desde o início reconhece apenas 79% dos sites de phishing . Esse percentual aumenta para 95% em dois dias, mas nesse momento a maioria desses sites para de funcionar, tendo concluído sua tarefa.



3. O CA Security Council considera a tese do Google de que é possível recusar o indicador EV, alegando que os usuários não o consideram um indicador positivo de segurança como um erro . Em primeiro lugar, usuários mais qualificados ainda sabem a diferença nos tipos de certificado. Em segundo lugar, valeria a pena fazer esforços para informar usuários menos qualificados que não entendem as diferenças entre DV e EV. Terceiro, a percepção do usuário depende do contexto: as pessoas não percebem medidas simples como o cinto de segurança de um carro em condições normais de conforto, mas esse não é um motivo para recusar os cintos de segurança.

4. Não basta confiar apenas nos URLs de phishing. Até um estudo do Google observa que os usuários têm problemas para analisar URLs e geralmente não percebem erros e erros de digitação nos sites de phishing. Ao mesmo tempo, o indicador EV não requer análise de URL.

O Conselho de Segurança da CA acredita que as deficiências dos certificados EV atuais são uma desculpa para trabalhar para melhorá-los, não um motivo de recusa. As estatísticas mostram que o certificado EV elimina melhor os sites de phishing. Para usá-lo efetivamente, os navegadores devem concordar com uma exibição padrão , disse o Conselho de Segurança, citando novamente uma analogia do mundo automotivo: se o sinal de parada for diferente de país para país e de estado para estado, e os motoristas não entenderem seu significado, isso não é uma razão. remova as placas de pare de todas as estradas porque são ineficazes.

Apesar das mudanças visuais nos navegadores, o VE continua sendo um indicador de segurança confiável. Ele ainda confirma a validade da pessoa jurídica, agora essas informações foram transferidas para outro local. Os usuários terão que clicar no ícone de cadeado para ver essas informações.

Portanto, os rumores sobre a morte dos certificados EV foram prematuros. É provável que os especialistas e designers de segurança entendam o problema e ajustem as interfaces. Agora, esse problema está sendo discutido com os desenvolvedores de navegadores.

---