Những thay đổi sắp tới trong Google Chrome và Mozilla Firefox cuối cùng cũng có thể châm ngòi cho chứng chỉ Xác thực mở rộng khi các trình duyệt dự định loại bỏ việc hiển thị tên công ty trên thanh địa chỉ.
Khi kết nối với một trang web an toàn, chứng chỉ SSL / TLS được cài đặt sẽ mã hóa giao tiếp giữa trình duyệt và máy chủ web. Các chứng chỉ này có một số yếu tố khác nhau, với một số tuyên bố sẽ cung cấp một quy trình xác minh kỹ lưỡng hơn hoặc các đặc quyền bổ sung.
Một chứng chỉ, được gọi là Chứng chỉ EV, được biết là có trình duyệt hiển thị chủ sở hữu chứng chỉ trực tiếp trên thanh địa chỉ của trình duyệt. Điều này được cho là làm cho trang web cảm thấy đáng tin cậy hơn đối với khách truy cập.
Trong thực tế, các loại chứng chỉ SSL / TLS khác nhau đều phục vụ một mục đích duy nhất và đó là mã hóa giao tiếp giữa trình duyệt và trang web. Bất cứ điều gì thêm được xem bởi nhiều người chỉ là một mánh lới quảng cáo tiếp thị để tính phí cho khách hàng cho một chứng chỉ “đáng tin cậy” đắt tiền hơn.
Trong nhiều bài đăng trên blog, nhà nghiên cứu bảo mật Troy Hunt đã tuyên bố rằng Chứng chỉ EV sẽ sớm bị khai tử vì ngày càng nhiều trang web rời khỏi chúng, bởi vì chúng khó quản lý hơn do thời gian xác minh thêm và vì mọi người đã liên kết với ổ khóa với một trang web an toàn hơn là một tên công ty.
Với việc Safari đã xóa thông tin công ty Chứng chỉ EV khỏi thanh địa chỉ, hầu hết các trình duyệt di động không hiển thị và trình duyệt máy tính để bàn Chrome và Mozilla sẽ sớm xóa thông tin này, dự đoán của Hunt đang trở thành sự thật.
Chứng chỉ EV sẽ sớm bị khai tử.
Chrome quyết định bỏ thông tin công ty
Trong một thông báo gần đây của các nhà phát triển Chromium trong danh sách gửi thư của Security-dev, Google đã tuyên bố rằng họ sẽ xóa chỉ báo Chứng chỉ EV khỏi thanh địa chỉ của trình duyệt bắt đầu trong Chrome 77, dự kiến phát hành vào ngày 10 tháng 9.
Điều này có nghĩa là tính năng chính của chứng chỉ EV, là hiển thị tên của công ty trên thanh địa chỉ, sẽ biến mất như hình dưới đây.
Chỉ báo nhận dạng chứng chỉ EV bây giờ sẽ được chuyển vào bong bóng thông tin trang được hiển thị khi bạn nhấp vào ổ khóa.
Google đang thực hiện thay đổi này khi họ xác định rằng chỉ báo EV không bảo vệ người dùng như dự định và chiếm vị trí màn hình có giá trị.
“Thông qua nghiên cứu của chúng tôi cũng như khảo sát về công việc học tập trước đó, nhóm UX của Chrome Security đã xác định rằng Giao diện người dùng EV không bảo vệ người dùng như dự định (xem Đọc thêm trong tài liệu Chromium). Người dùng dường như không đưa ra lựa chọn an toàn (chẳng hạn như không nhập mật khẩu hoặc thông tin thẻ tín dụng) khi UI bị thay đổi hoặc xóa, vì vậy cần thiết cho EV UI để cung cấp sự bảo vệ có ý nghĩa. Ngoài ra, huy hiệu EV chiếm một vị trí có giá trị trên màn hình , có thể đưa ra tên công ty gây nhầm lẫn trong Giao diện người dùng nổi bật và can thiệp vào hướng sản phẩm của Chrome theo hướng trung tính, thay vì tích cực, hiển thị cho các kết nối an toàn. Vì những vấn đề này và tiện ích hạn chế của nó, chúng tôi tin rằng nó thuộc về Thông tin Trang tốt hơn. “
Firefox cũng đang thực hiện thay đổi
Ngay sau thông báo của Chrome, Mozilla cũng tuyên bố rằng bắt đầu từ Firefox 70, họ sẽ xóa thông tin nhận dạng của chứng chỉ EV khỏi thanh địa chỉ.
Giống như Chrome, thông tin EV cũng sẽ được chuyển đến cửa thông tin trang Firefox mà người dùng nhìn thấy khi họ nhấp vào biểu tượng.
Các lý do của Mozilla để thực hiện thay đổi này tương tự như của Google; rằng không có dấu hiệu rõ ràng rằng chứng chỉ EV cung cấp bất kỳ chỉ số bảo mật tích cực nào.
Hiệu quả của EV đã được đặt câu hỏi nhiều lần trong vài năm qua, có những nghi ngờ nghiêm trọng về việc liệu người dùng có nhận thấy sự vắng mặt của các chỉ số bảo mật tích cực và bằng chứng về các khái niệm đã đưa EV chống lại các tên miền để lừa đảo hay không.
Gần đây, người ta đã chứng minh rằng các chứng chỉ EV với các tên thực thể va chạm có thể được tạo bằng cách chọn một phạm vi quyền hạn khác. 18 tháng đã trôi qua kể từ đó và không có thay đổi nào giải quyết vấn đề này được xác định.
Nhóm Chrome gần đây đã xóa các chỉ số EV khỏi thanh URL trong Canary và thông báo ý định gửi thay đổi này trong Chrome 77. Safari cũng không còn hiển thị tên thực thể EV thay vì tên miền trong thanh URL của họ, chỉ phân biệt EV bằng màu xanh lá cây. Edge cũng không còn hiển thị tên thực thể EV trong thanh URL của họ.
Nhưng chứng chỉ EV làm cho một trang web đáng tin cậy hơn!
Bạn có thể nói, “nhưng tất cả các nhà cung cấp chứng chỉ đều tuyên bố rằng chứng chỉ EV làm cho trang web cảm thấy đáng tin cậy hơn đối với khách truy cập vì họ biết rằng nó đã trải qua quy trình xác minh nghiêm ngặt hơn!”.
Điều đó có thể không hoàn toàn đúng như được chỉ ra bởi nhà nghiên cứu bảo mật Ian Caroll, người đã chỉ ra rằng không có hỗ trợ va chạm tên cho quy trình phát hành EV .
Điều này có nghĩa là một người có thể tạo ra một công ty ở một tiểu bang khác với một công ty nổi tiếng cùng tên. Sau đó, họ có thể sử dụng công ty mới đó để lấy Chứng chỉ EV và đưa tên công ty vào địa chỉ.
Ví dụ, Caroll đã tạo ra một công ty mới ở Kentucky có tên là “Stripe, Inc”, một bản sao của công ty thanh toán nổi tiếng và có thể nhận được chứng chỉ EV hiển thị tên công ty đó trên trang web của mình.
Điều này có thể dễ dàng được sử dụng như một trò lừa đảo tinh vi để lừa người dùng nghĩ rằng họ đang ở trên trang web nổi tiếng dựa trên các chỉ số nhận dạng Chứng chỉ EV trên thanh địa chỉ, khi họ bị đánh cắp thông tin đăng nhập.