EV证书已失效

我只说了这么多：扩展验证证书已失效。 当然，您仍然可以购买它们（有些公司会很乐意将它们卖给您！），但是它们的利益现在已经从“几乎”减少到“不存在”。 发生这种变化的原因很多，包括移动设备的普及程度越来越高，浏览器，iOS（以及MacOS Mojave）中的可视EV指示器的删除：



为了说明问题，我选择了Comodo网站，因为他们表现出与出售电动汽车相关的绝望，就在一个月前，他们给我寄了一封广告信，标题是“如何为您的网站获取绿色地址栏”。 在信中，他们开始说出事实的“替代”版本：



确实，这就是Firefox今天的样子，但是他们完全忘记在广告信中提到这纯粹是任意的视觉指示器，由浏览器开发人员自行决定。 显然，苹果已经杀死了他，但是即使对于许多使用Chrome的人来说，Comodo网站实际上看起来也大不相同（Chrome实验）：



这封信说明了EV如何对抗网络钓鱼，并指出以下内容：

显示经过验证的公司名称可让您快速识别网站背后的法人实体，这使网络钓鱼和欺诈变得困难。

换句话说，如果我们看到公司的名称，则可以提高信任度；如果您颠倒此声明，那么如果我们看不到公司的名称，则可能导致信任度降低，对吗？ 问题是人们根本不希望看到公司的名称，并且有一个非常简单有效的证明，说明了为什么这样做：


全球十大站点：无处没有电动汽车

Comodo引用“最近的研究”继续说服EV的有效性：

“ DevOps.com的最新研究发现，在带有绿色地址栏的网站上，客户信任和购买的可能性增加了50％。”

他们链接到ComodoStore上的一长页，尽管未在任何地方明确声明，但这些词暗示该研究在某种程度上是独立和公正的：“ Devops.com进行了调查”，以及其他类似短语。 我在7月发布了有关此内容的信息 ，但是此屏幕截图显示了您需要了解“调查”动机的所有信息：



我诚实地试图找出这项工作的顾客，首先写信给作者托尼·布拉德利（Tony Bradley），但没有得到答案，我在Twitter上问@TechSpective ，他是主编，以及@devopsdotcom （顺便说一下，我的追随者）发表了这份调查：


最后，托尼·布拉德利（Tony Bradley）证实了一个完全显而易见的事实。 他为延迟答复道歉，因为他很少登录Twitter并指定客户ComodoCA。


我希望在报告本身中看到这种迹象，因为Comodo的参与显然会导致偏见。 好像石油公司下令报告得出结论，说化石燃料对环境无害，或者烟草公司声称吸烟对健康无害。 如果您仍然认为DevOps.com确实相信EV证书的“好处”，那么请看看他们自己的证书：



该资源已在Comodo销售信函中多次提及，但请继续。 他们进一步指出，您只需购买EV证书即可“激活绿色地址栏”：

“要激活网站上的绿色地址栏，您只需要购买并安装SSL扩展验证（EV）证书。”

不在世界上最流行的iOS浏览器中：



而不是全球最流行的Android版Chrome浏览器：



让我们看一下iOS上的Microsoft Edge，以及以下可预测的结果：



这些是非常非常重要的屏幕截图，它们会由于两个关键原因而降低EV的价值。 首先， 世界上几乎所有浏览量的2/3来自移动设备 。 也就是说，上面的屏幕快照显示了网站所有者应考虑的普遍观点。 其次，结果是，公司无法告诉客户期望使用EV，因为它们中的大多数人永远都看不到它。 无论如何，Comodo建议EV具有“更长的绿色安全防护条”的优点：

“绿色的大安全栏向用户明确表明该站点是安全的。”

您知道这种信号到底是什么吗？ 桌面版Chrome中网址旁边的绿色图标！ 而且，如果您阅读并认为：“等等，Chrome不再这样做了”，那么您绝对正确。 该图标不再突出，并且没有安全字词：



9月4日Chrome 69的更改不仅影响了DV，还影响了具有EV的网站：



在这里，我试图强调视觉指标完全由浏览器开发人员决定，并且会随着时间的推移而变化。 因此，短语“如何在您的站点上获得绿色的地址栏”现在比编写时更加错误！ 实际上，这封信中唯一或多或少准确的EV表示法是承认您无法收到EV通配符证书 。 但是等等！ 有一个易于访问的解决方案，只是价格稍高一点，它被称为多域证书 ， 带有EV多域的Comodo Enterprise SSL Pro的默认选项将为您节省$ 5002.44 *：



*注意：您需要花费$ 9746.75才能节省下来

为了清楚起见，这不是四年证书。 如下文所示，CA / B论坛规则将最大证书有效期限制为两年，然后您需要手动重复验证和签发过程。 但是，该死，这将使我们无法出售4年的证书！

但是，如果您不续签证书怎么办？ 好吧，你得到这个 ：



您可能会想：“嗯，这很明显，DV也是如此”，但有细微差别。 首先，证书更新的疏忽以令人震惊的规律性发生，大型企业也是如此。 例如， Microsoft在2001年忘记更新secure.microsoft.co.uk 。 太久了 他们没有在2013年续订Azure域的证书 。 当然，不仅微软存在这样的问题：例如， 汇丰银行（HSBC）在2008年忘记续签该证书， Instagram在三年前遭受了如此大的灾难 ，在去年却出现了LinkedIn 。 还有许多其他示例，它们都清楚地表明了相同的普遍真理：如果存在重要且重复的任务，请使其自动化！

这使我想起第二点：证书更新必须是自动化的，如果需要身份验证，这是您做不到的。 有了DV证书，自动化就很容易；它是Let's Encrypt的基石，也是这项服务的真正重要属性。 最近，我在一家欧洲大型银行的开发团队中度过了一段时间，出于这个原因，他们正在认真考虑放弃EV。 实际上，不仅由于这个原因，他们仍然有风险，他们需要非常迅速地获得新证书（例如，由于密钥泄露），这对EV而言要比DV困难得多。 此外，长期的证书实际上会因撤销程序中断而带来额外的风险，因此快速迭代（例如，让我们加密证书的有效期为3个月）成为一个优势。 有效期为两年的证书不是一个优势，除非从中赚钱...

（矛盾的是，上面链接的LinkedIn故事与TheSSLStore.com有关，后者是证书经销商。您了解风险，但他们没有将自动化作为证书续订解决方案的一部分提供，而是提供了从中心“扩展到企业级别”的解决方案。像Comodo这样的证书，当然可以推EV。没有提到Let's Encrypt，尽管Comodo发行了相同数量的 证书，但由于向网络钓鱼站点颁发证书 （具有正确的域名验证）而受到了很大的批评 ！

缺少通配符支持是应避免使用EV的主要技术原因之一（其他原因通常只是常识），并且很难将subjectAltName字段中的内容称为有效的替代方法。 例如，我们在报告URI网站上拥有通配符证书，因此您可以将报告发送到https：// [我的公司名称] .report-uri.com，并且我们有数百个此类子域。 Comodo将很高兴支持这种规模：



除了我和Scott Helm确实没有80万8千美元的事实外，这还远不是真正的通配符证书，因为在发布它时，您将必须指定所有主机名而不是动态维护。

这封营销信中的最后一点是对保证的承诺：



它直接链接到具有超昂贵多域EV证书的页面，甚至没有尝试解释保证的实质，这有点奇怪。 但这是可以理解的，因为没有人真正知道什么是担保，以及是否有人至少一次申请过担保 。 认真地说-这不应该是轻率的声明，Scott和我诚实地试图在今年年初弄清楚这一点-并且根本无法获得直接答案。 当我设法进行对话时，他们指责我“呆呆”：


对话方块：
安德烈亚斯·穆勒克（Andreas Mullek） ：安迪，这些人不想承认自己的差异-他们太书呆子了，无法理解普通人与书呆子人的需求不同。 内德维尔（Nerdville）对我来说足够了，我将回去解决来自正常世界的客户的问题。 待会儿见。
特洛伊·亨特（Troy Hunt） ：安德里亚斯（Andreas），我问了一个非常合理的问题，这很重要，因为证书是有担保的，我想了解这是什么意思。 真正的客户想知道该保修范围是什么，是否有使用记录在案的示例？ 你知道吗

从所有人的角度来看 ，这不是任何人，而是CertCentre首席执行官的非常意外的答案，因为他似乎是第一个认识到证书保证非常重要的人（当然，前提是它确实很重要）。 如果您向某家公司支付具有声明的功能集的产品的费用，那么作为“书呆子”，询问这些功能的工作原理是很正常的，这不应引起运营该公司的人的嘲笑。 不幸的是，Andreas没有回答问题，而是使用了经过验证的鸵鸟方法：



真正引起疑问的是，担保是卖钱的（当然，您不会获得带有Let's Encrypt证书的担保），但是他们还没有准备好解释您所赚钱的确切含义。 CertCentre还在积极地将担保作为“最高安全级别的要素”推广 ：



但是朋友，如果您甚至不能正确拼写“保修”一词，那么了解它在做什么的真正机会是什么？

电动棺材的另一个亮点是斯科特·亚历克斯（ Scott Alexa）上半年的半年度报告Top 1M 。 它提供有关站点从HTTP到HTTPS过渡的令人鼓舞的统计信息：



HTTPS站点已经占52％，对于整个Internet来说非常好。 但是我对有关电动汽车的评论很感兴趣：

“尽管前100万个站点中HTTPS的强劲增长，但EV证书的份额并未增加。”

数量：在2月366 005个站点将HTTP请求重定向到HTTPS，其中19 802个站点使用了EV证书，占HTTPS站点的5.41％。 8月，有489,293重定向到HTTPS，其中25,158拥有EV证书，占5.14％。 换句话说，电动汽车的市场份额下降了约5％。

（注：489,293个确实构成了百万分之一的样本的52％，因为没有扫描47,000个站点并将其排除在统计之外）。

事实证明，许多站点实际上拒绝 EV证书。 一个月前， Scott提供了使用EV之前的主要站点的详细列表 ：Shutterstock，Target，UPS和英国警察。 大约在同一时间，我注意到甚至Twitter也放弃了EV。

Twitter的故事有点奇怪，因为实际上，您可以根据自己的位置查看他们的网站上是否有EV证书。 这也说明了EV的有效性：如果他们准备删除或添加EV，那么人们不太可能表现出不同的行为并相信没有EV的站点。 但这是构建电动机械原理的基础！

Comodo和CertCentre不仅开展虚假宣传活动，而且还开展许多其他活动，例如：


除了选择历史浏览器（此图像有​​多旧？！）， 本文还通过引用做出以下声明：

“网络安全专家建议将EV SSL证书用于电子商务，银行，社交媒体，医疗保健，政府和保险平台等平台。”

我不确定他们最初指的是谁，但是我知道，除了银行之外，这种说法根本不会为其他行业带来好处。 很容易证明它从根本上是错的。

这是世界上最大的电子商务网站 。 单击每个并检查它们是否具有EV：

1. 亚马孙
2. 奈飞
3. 易趣

您可以说Alexa错误地将Netflix分类为电子商务网站，然后查看第二受欢迎的walmart.com并获得相同的结果。 电动汽车无处可去。

我们继续前进。 社交媒体的情况也一样 ：

1. 脸书
2. 推特
3. 领英

如前所述，Twitter在是否支持EV方面存在轻微的身份危机，因此请检查第四大网站的保真度： Pinterest 。

在全球最受欢迎的医疗保健网站上，同样的事情：

1. 国立卫生研究院
2. Webmd
3. 梅奥诊所

没有EV。 一般而言。 没有一件事情。

我找不到最大的政府网站的清晰列表，因此我从Scott的Alexa Top 1M夜间爬网中提取了数据，并选择了.gov区域中最大的网站。 国立卫生研究院是最大的研究所，但是我们已经对其进行了研究，因此我们采取以下三个方法：

1. 印度唯一身份验证机构 （ 在HTTPS支持方面还有其他基本问题 ）
2. 印度税务局
3. 英国政府

到目前为止，您已经意识到满足EV的机会至少很少。 您是对的-绝不单打。

最后， 顶级的保险网站 ：

1. 联合服务汽车协会
2. 永久皇帝
3. Geico

我们找到了一个！ USAA确实拥有EV证书！ 其他两个没有，但是至少是某些东西，对吧？

如果“网络安全专家”为这类网站推荐EV，那么显然这些网站不会听他们的话。 因此，此类建议本质上是诗意的。

关于SSL的另一组未经证实的主张是，EV“增加了交易的转换”，“减少了从购物篮中的出没”和“防止网络钓鱼攻击”。 您可以理解为什么他们要做出这样的声明：原因可以通过文本下方的按钮形式看到：



因此，我们再次回到了明显的偏见。 但是，嘿，他们只是想做生意，所以我了解动机。 我们还可以假设，他们自己想开办这样的业务，对吗？ 好吧，这很有趣：



即使是电动汽车卖家，他本人也足够聪明，不愿意花钱！ 此外，我们还记得，由于世界上最受欢迎的浏览器（在69版中将其杀死），“绿色地址栏”本身现在已经完全消失了。

网络钓鱼有一个论点。 人们通常认为EV以某种方式降低了它。 这正是今年年初Entrust演示文稿的幻灯片中所说的：



有很多欺诈，为了进行分析，最好从Ryan Slevy阅读此主题 。 他分析了幻灯片所基于的研究。

瑞恩（Ryan）是一位非常聪明的从事铬制密码工作的密码学家，他具有出色的能力，可以将任何废话清晰地暴露在透明水中。 最后，他总结了这种情况 ：“总的来说，这是一篇不好的文章。 但更糟糕的是，他们正试图以“数据驱动”研究来假冒她。 他们使用错误的方法和选择性的方法来支持业务模型，该业务模型依赖于仅负责检测用户界面更改的用户。”

也就是说，我们回到这样一个事实，即只有当人们由于UI更改而改变其行为时，EV才有效。 实际上，人们不知道要注意什么，并且这种变化本身通常逐渐不复存在。 还是这种变化对于人们来说太微不足道了。 还记得文章中的第一个屏幕快照，其中Safari浏览器不再在EV证书中显示注册的公司名称吗？ 将其与我的博客的屏幕截图进行比较，该屏幕快照也在iOS 12的Safari中打开：



看到区别了吗？ EV站点URL及其旁边的城堡现在为绿色，而DV站点为黑色。 因此，现在，为了给用户一个适当的期望，他们需要告诉他们寻找绿色的 URL和一个锁...除非他们使用的是Chrome，Chrome通常会删除所有绿色的元素！ 显然，在浏览器中向用户解释这种细微差别是荒谬的，尤其是考虑到他们的更改速度。

回到关于SSL网站，有一段视频，演讲者在我们回顾的同一点上解释了EV的优点。如果您有耐心观看，请观看约6分钟的视频：


例如，当主持人（和Comodo产品营销经理）谈论金融交易对EV的重要性时，我们可以直接讲有趣的事情：

“在最关键的时刻，当他们决定是否进行交易时，这种醒目的视觉指示器（绿线EV）带有确认公司名称，位置和认证机构的信息，为做出决定提供了必要的信心。”

Excalibur餐具和礼品网站的屏幕快照进一步强化了这一论点：您



可能已经感觉到它将……而且您是对的：



没有EV。完全没有商用DV，而是完全普通的免费 Let's Encrypt证书。该视频就像是一个古老的时代：在Windows XP的IE8中打开的网站……我无能为力，但感觉情况有些过时了。事实证明，这是：



大约十年前，我不会从今天的位置开始评估该视频，但是在那里表达的观点与今天相同。当然，一个视频的文章被一个月前发布的推文所引用，该推文以“高级SSL验证证书的重要指南”为幌子，因此一切都是公平的。

科摩多是不用于促进电动汽车网站中，第一次有 EV。最近，有人给我看了Comodo的一封信，让我想起了域名更新：



自然，他对Mostlydead.com感兴趣，并想看看“销售额增长20％”是如何进行的（根据Ken Crease的说法）。您知道，因为EV“可以提高消费者的信心”。似乎没什么了：



您深入研究该主题，您就越会相信EV ...几乎已死。毕竟，这不仅仅是从EV切换到DV的随机站点。这是一个专门选择展示EV价值的网站！它应该是EV价值的一个例子，而Comodo一直推崇它至今。但是，我们看到Ken Crease明显改变了对EV有效性的主意（也许他从来没有这样的看法）。

EV的情况开始看起来像这样：



但是我们还没有完成：我想提到另一个曾经拥有EV证书的站点，现在又回到了DV。这是网站：


译者注：TIB Hunt使用被盗帐户的数据库启动了HIBP网站。

我是在前天更改证书的，到目前为止，还没有人提到它。没有人不是一个灵魂，但是我的听众比您的普通用户更精通此类事情。自然地，在这段时间里不乏能注意到这一变化的人：



大约两年前，我写了一篇关于他进入EV证书世界的旅程。就像我的许多文章一样，我在旅途中进行了研究。我想亲自进行EV认证流程（其他人以前总是这样做），我想看看它是否真的很重要。那时，老实说，我不理解并结束这样的文章：

“所有这些经过EV认证的东西都很难用价值来衡量。 我不知道有多少人将检查服务中的电子邮件地址，他将收到多少媒体报道或捐款。 通常毫无头绪。”

两年后，我对这个结论深信不疑：没有价值。 但这并不意味着拥有这样的证书就没有缺点 ，根本就没有好处。 随着续订日期的临近（12月14日），我致电并要求提前将其撤回，以便返回免费的Cloudflare版本。 绝对没有理由为续期付费（我立即支付了472美元的两年期证书），没有任何理由等待到期，除了对损失的厌恶外，它与EV证书具有相同的含义。

我经常想知道在免费提供证书的时代，为EV或DV证书付款的意义是什么？ 我访问了世界各地许多讨论HTTPS的公司，当我尝试探究此问题时，我经常听到“没有人因购买IBM而被解雇”这句话。 我一直在寻找一个很好的链接来解释该短语的含义-并在Wikipedia的FUD定义中找到了一个很好的链接：

“通过传播鲜为人知的产品缺点的可疑信息，老牌公司可能会阻止决策者选择这些产品而不是他们自己的产品，而不论其相对技术优势如何。” 这是公认的现象，这是采购代理的传统公理所体现的，“没有人因购买IBM设备而被解雇”。 IT部门的目标是购买技术上较差的软件，因为高层管理人员更有可能认出该品牌。”

换句话说，由于营销FUD，人们对他们认为“安全”的东西做出了不明智的决定。 我怀疑在其网站上贴有第三方安全印章的公司的心态相似。 他们没有足够的知识和理解力来增加风险 ，但是该死，他们的广告是这样的！

所以是的-HIBP不再有电动汽车，没有人会想念他，这与其他拒绝扩展验证证书的人的经验完全一致：

“本月，我们放弃了EV，提高了TLS握手速度，没有人说什么丢失了。”

“在付款门户网站上，我们用@letsencrypt替换了EV证书：
-自动续订（无需漫长而复杂的手动流程，可减少过期风险）
-价格
-人们不在乎证书的类型
-更频繁地进行更新-更快地从可能的危害中恢复”

“我们意识到，人们比我们不熟悉的公司更信任漂亮的绿色徽章。 储蓄是一种奖励。”

“我不同意这个问题的代价。 Target和其他巨头并不在乎1,000美元的证书。 我认为这与意识有关。 我知道18个月前，对于我的.org网站来说，颁发EV证书似乎是个好主意。 但是我会续约吗？ 不行 因为我意识到他们的无意义。”

“我无法说说成为主要因素的原因：1.需要通配符以增加灵活性。 2.成本不再合理，尤其是考虑多个子域时。 3.缺乏用户意识意味着几乎没有人注意到这些变化。”

这篇文章发表的时间很长，因为每次我坐下来写作时，都有新的证据表明EV绝对毫无意义。 我早在列出的一些事件之前就开始做笔记，包括在Chrome 69发布之前和删除绿色地址栏之前，这杀死了EV营销的主要王牌之一。 这并不是说电动汽车是唯一因上千次减产而逐渐消失的技术。 曾经有这样的证书是好产品，但现在情况却完全不同了，这只是过去时代的无用之物。 浏览器制造商意识到这一点并采取相应措施。 将最后一个钉子钉入EV棺材只是时间问题：


Chrome Canary v70试图删除EV-SSL公司名称，我想知道这是否会在最终版本中发布吗？

当Chrome最终从浏览器中删除可视化EV指示器时（就像他们已经在移动设备上所做的一样，就像Apple在Safari系列中所做的那样），这将很好，并且可以真正终止EV。 也许那时FUD将最终结束。

我将为您提供关于EV绝对无效的最后一点证据：这是我今年早些时候在伦敦的演讲。 这是我开始谈论电动汽车的时刻 ，这是与观众互动的指示。 当我问他们希望在流行的网站上看到什么样的视觉指示器时，看看充满智能技术人员的房间如何反应。 好好享受