在新版本的Chrome 77和Firefox 70（将于10月22日发布）中，带有扩展验证的EV证书在地址栏中失去了通常的位置 。 现在，乍一看，它们与验证域的普通DV证书没有什么不同。 关于公司的其他信息仅通过按锁定图标即可公开，而不会在地址栏中公开。


这就是Firefox 70中的SSL SSL证书信息

业内评论家对“航空贸易”将停止感到高兴 。 但是注册服务商自己认为，EV SSL尚为时过早。

高级验证证书

扩展验证证书（Extended Validation，EV）-一种HTTPS证书，其中证书颁发机构通过将域绑定到法人实体来执行对域所有者的附加验证。 该过程本身最多可能需要两个星期。 与了解您的客户银行业务标准类似，公司的地址和电话号码也经过验证。 然后将此信息嵌入证书中，并通过证书颁发机构的数字签名进行验证。

  CN = www.bankofamerica.com
序列号= 2927442
 2.5.4.15 =私人组织
 O =美国银行公司
 1.3.6.1.4.1.311.60.2.1.2 =特拉华州
 1.3.6.1.4.1.311.60.2.1.3 =美国
 L =芝加哥
 S =伊利诺伊州
 C =美国 

普通DV证书只需确认所有者控制证书中指定的域即可。 同时，证书颁发机构不知道拥有该域并且无法联系该域的线索：

  CN = whoami.com 

这些实际上是匿名证书，仅用于加密HTTPS上的流量。 它们不会以任何方式表明站点的安全性：任何人都可以通过自动化程序来获得此类证书。

以前，大多数浏览器直接在URL旁边的地址栏中显示法人实体和管辖区的名称，如下图所示。


用于在Firefox，Safari和Chrome浏览器中显示EV证书的先前UI

Safari是第一个放弃这种做法的人。 他停止显示法人实体的名称，并且在存在EV证书的情况下，该域仅变为绿色。 然后，Chrome界面发生了变化。


镀铬76


镀铬77

在2019年10月22日，计划对Firefox 70的最终版本进行相同的更改。


火狐69


Firefox 70

应当注意， CA / EV的浏览器论坛的准则 （第2节）明确指出，EV证书的主要目的是告知用户与他们通过网站进行互动的业务的合法身份。 次要目标是打击网络钓鱼和其他恶意类型的Web活动。

为什么浏览器删除了EV SSL指示器

主要原因是开发人员希望优化浏览器界面，因为长地址栏不适合移动设备的屏幕。 但是，他们不能为了方便而牺牲安全性。 Google发起了一项特殊研究，得出的结论是，拒绝EV仍不会降低安全性。 这项研究在更改UI之前开了绿灯，这是界面开发人员为用户方便所必需的。

这是Google的界面设计和安全专家（Chrome Security UX组）进行的一项研究 。 他们得出结论，“ EV UI无法正确提供用户保护。”

Google指出：“ EV徽章占用了宝贵的屏幕空间，可以在用户界面中显示假公司名称，并阻止Chrome转向中立而非积极的安全连接迹象。” 根据Chrome Security UX专家的逻辑，带有EV证书的行表示TLS的肯定表示，而中性表示就对用户的影响而言更有效。 因此，将来，带有HTTPS的站点将被剥夺“锁定”图标，对于没有HTTPS的站点，将显示安全警告。 这将鼓励所有站点安装SSL证书。

Google的一项研究指出了EV证书的缺点：

• EV不能保证经过验证的公司不违反法律，不会进行诚实的业务，并且确实是安全可靠的。
  
• 电动汽车无法防止网络钓鱼，因为用户不会凝视它们。 尤其是，他们不注意注册了EV证书的公司的国家/地区代码，该代码可用于欺诈。
  
  
  通过对Chrome Security UX小组的研究，展示了不同管辖区的EV证书时Chrome用户的关注度分布热图
  
• 攻击者可以获得名称相似的公司的EV证书。
  
• 公司的法定名称有时会引起误解，与网站名称不一致。 例如， mint.com个人理财服务拥有由Intuit Inc.发行的EV证书。

什么可以进行扩展检查

CA安全委员会认为从地址栏中删除EV是错误的。 聚集了许多领先认证机构的组织带来了以下原因 ：

1.只有EV证书才能确认站点属于特定公司 。 如果我们不知道哪个公司拥有域，则无法保护机密用户数据。

2.防止网络钓鱼 。 研究表明，攻击者积极使用DV证书，并通过自动匿名程序免费订购了成千上万的DV证书。

结果，网络钓鱼大量切换到DV证书。 FBI已经发出警告，用户不应信任HTTPS锁定图标或浏览器中的绿色指示器 ，因为一半的网络钓鱼站点均显示此类指示器 。

同时，欺诈者很难获得EV证书。



以下是2019年2月对3494个具有SSL证书的网络钓鱼站点的研究结果：

• EV：0个网络钓鱼站点（0％）
  
• OV：145个网络钓鱼站点（4.15％），主要是CDN多SAN多域证书，例如Cloudflare
  
• DV：3349个钓鱼网站（95.85％）

浏览器防网络钓鱼过滤器无法应对威胁。 NSS Labs从2018年10月开始的一项研究表明，谷歌安全浏览从一开始就只识别79％的网络钓鱼站点 。 该百分比在两天内增加到95％，但是到了此时，这些站点中的大多数站点已经完成任务而停止工作。



3. CA安全委员会认为Google的论点是可以拒绝EV指标 ，理由是用户不会将EV指标视为肯定的安全指标。 首先，更多合格的用户仍然知道证书类型的差异。 其次，值得努力的是告知那些不太了解DV和EV之间差异的不合格用户。 第三，用户的感知取决于上下文：人们不会注意到诸如在正常舒适条件下的汽车安全带之类的简单措施，但这并不是拒绝安全带的理由。

4.仅依靠网络钓鱼URL是不够的 。 甚至Google的一项研究都指出，用户在分析URL时遇到了麻烦，并且常常无法注意到网络钓鱼网站上的错误和错别字。 同时，EV指标不需要URL分析。

CA理事会认为，当前的EV证书的缺点是改进证书的借口，而不是拒绝的理由。 统计数据表明，EV证书可以最好地消除网络钓鱼站点。 安全理事会说，要有效地使用它，浏览器应在标准显示器上达成一致，并再次引用汽车世界的类比：如果停车标志因国家和州而异，并且驾驶员不理解其含义，那么这不是原因删除所有道路上的停车标志，因为它们无效。

尽管浏览器发生了视觉变化，但EV仍然是可靠的安全指标。 他仍然确认法人实体的有效性，只是此信息已移至另一个地方。 用户必须单击锁定图标才能查看此信息。

因此，有关EV证书死亡的传言还为时过早。 安全专家和设计人员很可能会理解该问题并调整界面。 现在，此问题正在与浏览器开发人员讨论。

---