Những thay đổi sắp tới trong Google Chrome và Mozilla Firefox ở đầu cuối cũng thực sự có thể châm ngòi cho chứng chỉ Xác thực mở rộng khi các trình duyệt dự định loại bỏ việc hiển thị tên công ty trên thanh địa chỉ.
Khi liên kết với một trang web an toàn, chứng chỉ SSL / TLS được thiết đặt sẽ mã hóa giao tiếp giữa trình duyệt và máy chủ web. các chứng chỉ này có một số nhân tố khác nhau, với một số tuyên bố sẽ cung cấp một công đoạn xác minh kỹ lưỡng hơn hoặc các đặc quyền bổ sung.
Một chứng chỉ, được gọi là Chứng chỉ EV, được biết là có trình duyệt hiển thị chủ sở hữu chứng chỉ trực tiếp trên thanh địa chỉ của trình duyệt. điều đó được cho là làm cho trang web nhận thấy tin tưởng cậy hơn đối với khách truy cập.
Chứng chỉ EV trên GitHub
trên thực tế, những loại chứng chỉ SSL / TLS khác nhau đều phục vụ một mục đích duy nhất và đó là mã hóa giao tiếp giữa trình duyệt và trang web. bất cứ điều gì thêm được xem bởi nhiều người chỉ là một mánh lới quảng cáo Marketing để tính phí cho người tiêu dùng cho một chứng chỉ “đáng tin cậy” đắt giá hơn.
Trong nhiều bài đăng trên blog, nhà nghiên cứu bảo mật Troy Hunt đã tuyên bố rằng Chứng chỉ EV sẽ sớm bị khai tử vì ngày càng nhiều trang web rời khỏi chúng, bởi vì chúng khó quản lý hơn do thời gian xác minh thêm và vì người khác đã kết nối với ổ khóa với một trang web an toàn hơn là một tên doanh nghiệp.
Với việc Safari đã xóa thông tin công ty Chứng chỉ EV khỏi thanh địa chỉ, hầu hết những trình duyệt di động không hiển thị và trình duyệt máy tính để bàn Chrome và Mozilla sẽ sớm xóa thông tin này, dự báo của Hunt đang trở thành sự thật.
Chứng chỉ EV sẽ sớm bị khai tử.
Chrome đưa ra quyết định bỏ thông tin doanh nghiệp
Trong một thông báo vừa mới đây của những nhà phát triển Chromium trong danh sách gửi thư của Security-dev, Google đã tuyên bố rằng họ sẽ xóa chỉ báo Chứng chỉ EV khỏi thanh địa chỉ của trình duyệt mở màn trong Chrome 77, dự kiến phát hành vào ngày 10 tháng 9.
điều đó có nghĩa là tính năng chính của chứng chỉ EV, là hiển thị tên của công ty trên thanh địa chỉ, sẽ biến mất như hình dưới đây.
Chỉ báo chứng chỉ EV trong Chrome 76 và 77
Chỉ báo nhận dạng chứng chỉ EV bây giờ sẽ được chuyển vào bong bóng thông tin trang được hiển thị khi bạn nhấp vào ổ khóa.
Thông tin EV được hiển thị trong bong bóng thông tin trang
Google đang thực hiện thay đổi này khi họ xác định rằng chỉ báo EV không bảo vệ người dùng như dự định và chiếm vị trí màn hình có giá trị.
“Thông qua nghiên cứu của chúng tôi cũng như khảo sát về công việc Học hỏi trước đó, nhóm UX của Chrome Security đã xác định rằng Giao diện người dùng EV không bảo vệ người dùng như dự định (xem Tìm hiểu thêm trong tài liệu Chromium). Người dùng dường như không đưa ra phương án lựa chọn an toàn (chẳng hạn như không nhập mật khẩu hoặc thông tin thẻ tín dụng) khi UI bị thay đổi hoặc xóa, vì vậy cần thiết cho EV UI để cung cấp sự bảo vệ đi kèm ý nghĩa. không những thế, huy hiệu EV chiếm một vị trí có giá trị trên màn hình , thực sự có thể đưa ra tên doanh nghiệp gây nhầm lẫn trong Giao diện người dùng nổi bật và can thiệp vào hướng sản phẩm của Chrome theo hướng trung tính, thay vì tích cực, hiển thị cho những quan hệ an toàn. Vì các vấn đề này và lợi ích hạn chế của nó, chúng tôi tin rằng nó thuộc về Thông tin Trang khá hơn. “
Firefox cũng đang thực hiện thay đổi
Ngay sau thông báo của Chrome, Mozilla cũng tuyên bố rằng bắt đầu từ Firefox 70, họ sẽ xóa thông tin nhận dạng của chứng chỉ EV khỏi thanh địa chỉ.
các số liệu Chứng chỉ EV trong Firefox 68 và 70
Giống như Chrome, thông tin EV cũng sẽ được chuyển đến cửa thông tin trang Firefox mà người dùng nhìn thấy khi họ nhấp vào biểu tượng.
Thông tin EV được hiển thị trong bong bóng thông tin trang
các nguyên nhân của Mozilla để làm thay đổi này tương tự như của Google; rằng không có dấu hiệu rõ ràng rằng chứng chỉ EV cung cấp bất kể chỉ số bảo mật tích cực nào.
Hiệu quả của EV đã được đặt câu hỏi nhiều lần trong vài năm qua, có những nghi ngờ nghiêm trọng về việc liệu người dùng có nhận thấy sự vắng mặt của các số liệu bảo mật tích cực và bằng chứng về các khái niệm đã đưa EV chống lại những tên miền để lừa đảo hay không.
vừa mới đây, người ta đã chứng tỏ rằng những chứng chỉ EV với những tên thực thể va chạm thực sự có thể được tạo bằng cách chọn một phạm vi quyền hạn khác. 18 Tháng đã trôi qua kể từ đó và không có thay đổi nào hóa giải vấn đề này được xác định.
nhóm Chrome vừa mới đây đã xóa các con số EV khỏi thanh URL trong Canary và thông báo ý định gửi thay đổi này trong Chrome 77. Safari cũng không còn hiển thị tên thực thể EV thay vì tên miền trong thanh URL của họ, chỉ phân biệt EV bằng màu xanh lá cây. Edge cũng không còn hiển thị tên thực thể EV trong thanh URL của họ.
Nhưng chứng chỉ EV thực hiện cho một trang web tự tin cậy hơn!
Bạn nói theo cách khác, “nhưng tất cả những nhà cung cấp chứng chỉ đều tuyên bố rằng chứng chỉ EV thực hiện cho trang web nhận thấy đáng tin cậy hơn đối với khách truy cập vì họ biết rằng nó đã trải qua công đoạn xác minh chặt chẽ hơn!”.
việc đó thực sự có thể không hoàn toàn đúng như được chỉ ra bởi nhà nghiên cứu bảo mật Ian Caroll, người đã chỉ ra rằng không có hỗ trợ va chạm tên cho công đoạn phát hành EV .
điều này mang nghĩa là một người thực sự có thể làm ra một công ty ở một tiểu bang khác với một công ty nổi tiếng cùng tên. Sau đó, họ thực sự có thể sử dụng doanh nghiệp mới đó để lấy Chứng chỉ EV và đưa tên công ty vào địa chỉ.
Ví dụ, Caroll đã tạo ra một doanh nghiệp mới ở Kentucky có tên là “Stripe, Inc”, một bản sao của công ty thanh toán nổi tiếng và thực sự có thể nhận được chứng chỉ EV hiển thị tên doanh nghiệp đó trên trang web của bản thân.
Trang web sọc giả
điều này thực sự có thể đơn giản được sử dụng như một trò lừa đảo tinh vi để lừa người dùng nghĩ rằng họ đang ở trên trang web nổi tiếng dựa trên các chỉ số nhận dạng Chứng chỉ EV trên thanh địa chỉ, khi họ bị đánh cắp thông tin đăng nhập.
Nguồn: ssl.vn