EV-Zertifikate sind tot

Ursprünglicher Autor: Troy Hunt
  • Übersetzung
Ich sagte es schon: Erweiterte Validierungszertifikate sind tot. Natürlich können Sie sie immer noch kaufen (und einige Unternehmen verkaufen Sie gerne!), Aber ihre Vorteile sind jetzt von „kaum“ auf „nicht vorhanden“ gesunken. Die Änderung war auf eine Reihe von Faktoren zurückzuführen, darunter eine zunehmende Beliebtheit von mobilen Geräten, das Entfernen des visuellen EV-Indikators aus Browsern sowie von iOS (und auch von MacOS Mojave):



Zur Veranschaulichung habe ich die Comodo-Website gewählt, weil sie eine solche Verzweiflung im Zusammenhang mit dem Verkauf von EV zeigte. Vor einem Monat schickte ich mir einen Verkaufsbrief mit der Überschrift "Wie erreiche ich die grüne Adressleiste für Ihre Website". In dem Brief fangen sie an, die "alternative" Version der Wahrheit zu sagen:



In der Tat sieht Firefox heute so aus, vergisst jedoch völlig, im Werbebrief zu erwähnen, dass dies ein rein willkürlicher visueller Indikator ist, der den Browserentwicklern überlassen wird. Offensichtlich hat Apple es bereits getötet, aber selbst für viele Leute in Chrome sieht die Comodo-Website tatsächlich ganz anders aus (Chrome-Experiment):



Der Brief sagt, wie EV gegen Phishing kämpft, und besagt Folgendes:

Durch Anzeigen eines verifizierten Firmennamens können Sie schnell die Rechtsperson hinter der Website identifizieren, was Phishing und Täuschung erschwert.

Mit anderen Worten, wenn wir den Namen des Unternehmens zu sehen - dies führt zu einem höheren Maße an Vertrauen, als ob diese Aussage invertieren, wenn wir nicht den Namen des Unternehmens sehen, führt dies zu einem Verlust des Vertrauens, nicht wahr? Das Problem ist, dass die Leute einfach nicht erwarten, den Namen des Unternehmens zu sehen, und es gibt eine sehr einfache und effektive Demonstration, warum dies so ist:


Zehn der weltweit größten Standorte: Nirgendwo

überzeugt EV Comodo nach wie vor von der Wirksamkeit von EV.

"Eine kürzlich durchgeführte DevOps.com-Studie ergab, dass Kunden 50% häufiger vertrauen und auf Websites mit einer grünen Adressleiste kaufen."

Sie verweisen auf eine lange Seite in ComodoStore und werden zwar nirgendwo explizit angegeben, aber die Worte deuten darauf hin, dass die Forschung irgendwie unabhängig und unparteiisch war: "Devops.com surveyed" und andere ähnliche Ausdrücke. Ich habe bereits im Juli darüber gesprochen , aber dieser Screenshot sagt alles über die Motive der "Umfrage" aus:



Ich habe ehrlich versucht, den Kunden dieser Arbeit kennenzulernen, zuerst den Autor Tony Bradley zu schreiben und nicht die Antwort zu erhalten, die auf Twitter bei @TechSpective gefragt wurde , wo er ist der Chefredakteur und @devopsdotcom (übrigens meine Anhänger), der die Umfrage veröffentlicht hat:


Am Ende wurde von Tony Bradley bereits eine offensichtliche Tatsache bestätigt. Er entschuldigte sich für die verspätete Antwort, weil er sich selten bei Twitter anmeldete und den Kunden anrief - Comodo CA.


Ich möchte diesen Hinweis im Bericht selbst sehen, da die Beteiligung von Comodo eindeutig zu Befangenheit führt. Es ist, als würde der Mineralölkonzern einen Bericht mit der Schlussfolgerung bestellen, dass fossile Brennstoffe für die Umwelt nicht schädlich sind, oder der Tabakkonzern wird erklären, dass Rauchen nicht gesundheitsschädlich ist. Wenn Sie immer noch der Meinung sind, dass DevOps.com tatsächlich an den "Vorteil" von EV-Zertifikaten glaubt, werfen Sie einen Blick auf ihre eigenen:



Diese Ressource wird im Werbebrief an Comodo wiederholt erwähnt, aber machen wir weiter. Sie erklären außerdem, dass Sie die grüne Adressleiste aktivieren können, indem Sie einfach ein EV-Zertifikat erwerben:

"Um die grüne Adressleiste auf Ihrer Website zu aktivieren, müssen Sie lediglich das SSL Extended Validation (EV) -Zertifikat erwerben und installieren."

Nur nicht im weltweit beliebtesten Browser für iOS:



Und nicht in Chrome für Android, dem beliebtesten Betriebssystem der Welt:



Sehen wir uns Microsoft Edge unter iOS an, und wieder dieses vorhersehbare Ergebnis:



Dies sind sehr wichtige Screenshots, die den Wert von EV um zwei Tasten reduzieren Gründe. Erstens kommen fast zwei Drittel aller Seitenaufrufe weltweit von mobilen Geräten . Das heißt, die obigen Screenshots zeigen die vorherrschende Ansicht, über die der Websitebesitzer nachdenken sollte. Zweitens können Unternehmen ihren Kunden nicht sagen, dass sie mit EV rechnen werden, da die meisten von ihnen dies nie sehen werden. Trotzdem geht Comodo davon aus, dass EV von einer "längeren grünen Sicherheitslinie" profitiert:

"Die große grüne Sicherheitsleiste ist ein klares Signal an den Benutzer, dass die Website sicher ist."

Wissen Sie, was genau ein solches Signal ist? Ein grünes Symbol neben der Chrome-URL auf dem Desktop! Und wenn Sie es lesen und denken: "Warte, Chrome macht das nicht mehr", dann haben Sie absolut Recht. Das Symbol ist nicht mehr hervorzuheben und es gibt kein Wort Sicher : Die



Änderung in Chrome 69 vom 4. September betraf nicht nur DV, sondern auch Websites mit EV:



Hier möchte ich betonen, dass visuelle Indikatoren vollständig im Ermessen von Browser-Entwicklern liegen und sich im Laufe der Zeit ändern. Daher ist der Satz "So bekommen Sie die grüne Adressleiste auf Ihrer Website" jetzt noch falscher als zu dem Zeitpunkt, als er geschrieben wurde! Tatsächlich ist die einzige mehr oder weniger genaue Darstellung von EV in diesem Brief die Erkenntnis, dass Sie kein EV-Wildcard-Zertifikat erhalten können.. Aber warte! Es gibt leicht erschwingliche Lösung, nur ein wenig teurer, heißt es Multi-Domain - Zertifikat , ist diese Option standardmäßig Comodos Enterprise SSL Pro mit EV Multi -Domain sparen Sie wirklich 5.002,44 $ *:



* Hinweis: Sie müssen 9.746,75 $ ausgeben , diese Wirtschaft zu erhalten ,

um Klarheit, dies ist kein vierjähriges Zertifikat. Wie der folgende Text zeigt, beschränken die CA / B Forum-Regeln die maximale Gültigkeit eines Zertifikats auf zwei Jahre. Anschließend müssen Sie den Überprüfungs- und Ausstellungsvorgang manuell wiederholen. Aber verdammt, es wird uns nicht erlauben, Zertifikate für 4 Jahre zu verkaufen!

Und was ist, wenn Sie das Zertifikat nicht erneuern? Nun, du bekommst das :



Sie denken vielleicht: "Nun, das ist offensichtlich wie bei DV", aber es gibt Nuancen. Erstens geschieht die Vernachlässigung der Zertifikatserneuerung mit einer alarmierenden Regelmäßigkeit, und dies geschieht bei großen Jungs. Microsoft hat beispielsweise vergessen, secure.microsoft.co.uk im Jahr 2001 zu aktualisieren . Zu lange her? Sie haben nicht das Zertifikat für Azure Domain im Jahr 2013 aktualisiert . Und natürlich diese Probleme nicht nur bei Microsoft: so, von HSBC zu erneuern vergessen haben , das Zertifikat im Jahr 2008 , geschahen von Instagram solche Problemen vor drei Jahren , und in LinkedIn - im vergangenen Jahr . Es gibt viele, viele andere Beispiele, und alle machen ein und dieselbe Binsenweisheit klar: Wenn es eine wichtige und sich wiederholende Aufgabe gibt, automatisieren Sie sie!

Das bringt mich zum zweiten Punkt: Die Zertifikatserneuerung sollte automatisiert werden. Dies ist etwas, das Sie einfach nicht tun können, wenn eine Identitätsüberprüfung erforderlich ist. Mit einem DV-Zertifikat ist die Automatisierung einfach, es ist der Grundstein von Let's Encrypt und ein wirklich wichtiges Attribut dieses Dienstes. Ich habe kürzlich einige Zeit bei einem Entwicklungsteam einer großen europäischen Bank verbracht, und sie haben ernsthaft darüber nachgedacht, EV aus genau diesem Grund aufzugeben. Nicht nur aus diesem Grund bestand das Risiko, dass sie sehr schnell ein neues Zertifikat erhalten müssten (z. B. aufgrund von kompromittierten Schlüsseln), was für EV viel schwieriger ist als für DV. Darüber hinaus schaffen langfristige Zertifikate aufgrund eines gebrochenen Widerrufsverfahrens tatsächlich zusätzliche Risiken .Daher sind schnelle Iterationen (beispielsweise Let's Encrypt-Zertifikate dauern 3 Monate) von Vorteil. Zertifikate mit einer Gültigkeit von zwei Jahren sind kein Vorteil, es sei denn, mit ihnen wird Geld verdient ...

(Paradoxerweise bezieht sich die LinkedIn-Geschichte aus dem obigen Link auf TheSSLStore.com, einen Wiederverkäufer von Zertifikaten. Sie verstehen die Risiken, bieten jedoch Automatisierung an als Teil der Entscheidung , das Zertifikat zu erneuern, sie Lösungen „ die Skala auf der Enterprise-Klasse“ von CAs, wie Comodo bieten, die, natürlich, EV drücken. keine Erwähnung der Encrypt Lassen sie uns. sie wurde für die Ausstellung von Bescheinigungen laut kritisiert ishingovym Websites (mit der richtigen Überprüfung des Domainnamens), aber Comodo hat die gleiche Anzahl ausgegeben!

Die fehlende Unterstützung für Wildcards ist einer der wichtigsten technischen Gründe, warum EV vermieden werden sollte (andere Gründe sind im Grunde nur gesunder Menschenverstand), und das Ausfüllen des Felds subjectAltName kann kaum als ausreichende Alternative bezeichnet werden. Wir haben beispielsweise ein Platzhalterzertifikat auf unserer Berichts-URI- Site , sodass Sie Berichte an https: // [mein Firmenname] .report-uri.com senden können, und wir haben Hunderte solcher Subdomains. Comodo wird diese Skala gerne unterstützen:



Außerdem haben Scott Helm und ich nicht wirklich 808.000 US-Dollar. Dies ist auch weit entfernt vom echten Wildcard-Zertifikat, da zum Zeitpunkt der Ausstellung alle Hostnamen angegeben werden müssen, anstatt eine dynamische Wartung durchzuführen.

Und der letzte Punkt in diesem Marketingbrief ist das Versprechen einer Garantie:



Sie bezieht sich direkt auf die Seite mit super teuren Multi-Domain-EV-Zertifikaten und versucht nicht einmal, das Wesentliche der Garantie zu erklären, was ein bisschen seltsam ist. Das ist aber völlig verständlich, denn niemand weiß wirklich, was eine Garantie ist und ob sich mindestens einmal jemand dafür beworben hat . Ernsthaft - dies sollte keine frivole Aussage sein, Scott und ich haben es zu Beginn des Jahres ehrlich versucht, es herauszufinden - und konnten einfach keine direkten Antworten bekommen. Als ich es geschafft hatte, in einen Dialog einzutreten, wurde mir vorgeworfen, dass er "aus Nerds" heraus sei


Dialog:
Andreas Mallek : Andy, diese Jungs wollen ihren Unterschied nicht zugeben - sie sind zu nerdig, um zu verstehen, dass normale Menschen andere Bedürfnisse haben als Menschen in Nerdville. Ich werde Nerdville haben, ich werde wiederkommen, um mich mit den Problemen meiner Kunden aus der normalen Welt zu beschäftigen. Auf Wiedersehen.
Troy Hunt : Andreas, ich habe eine sehr vernünftige Frage gestellt, und dies ist wichtig, weil die Zertifikate mit einer Garantie verkauft werden und ich versuche zu verstehen, was dies bedeutet. Echte Kunden möchten wissen, was diese Garantie abdeckt. Gibt es dokumentierte Anwendungsbeispiele? Wissen Sie davon?

Unter allen Umständen war dies eine sehr unerwartete Antwort, nicht von jemandem, sondern vom Geschäftsführer von CertCentreSchließlich scheint er der Erste zu sein, der die hohe Bedeutung der Garantie für ein Zertifikat anerkennt (vorausgesetzt, es ist natürlich sehr wichtig). Wenn Sie eine solche Firma für ein Produkt mit bestimmten Funktionen zahlen, ist es ganz normal, sich zu fragen, wie diese Funktionen funktionieren, und dies sollte nicht zum Spott des Unternehmens führen, das diese Firma leitet. Anstatt die Frage zu beantworten, wendete Andreas leider die bewährte Straußenmethode an:



Was wirklich Fragen aufwirft, ist, dass die Garantie gegen Geld verkauft wird (natürlich erhalten Sie keine Garantie mit dem Zertifikat "Let's Encrypt"), aber sie sind nicht bereit zu erklären, was Sie genau für Sie erhalten geld CertCentre setzt sich außerdem aktiv für die Garantie als „Element höchster Sicherheitsstufe“ ein :



Aber, Freunde, wenn Sie das Wort Garantie nicht einmal richtig schreiben können , was sind die echten Chancen, zu verstehen, was es tut?!

Ein weiterer Nagel im Sarg von EV ist Scott's Halbjahresbericht Alexa Top 1M vom letzten Monat. Es gibt ermutigende Statistiken zum Übergang von Sites von HTTP zu HTTPS:



HTTPS-Sites sind bereits 52%, was für das Internet insgesamt sehr gut ist. Ich war aber an diesem Kommentar zu EV interessiert:

"Trotz des starken Wachstums von HTTPS an den ersten Millionen Standorten wächst der Anteil der EV-Zertifikate nicht."

In Zahlen: Im Februar leiteten 366.005 Standorte HTTP-Anforderungen an HTTPS und 19 802 davon verwendeten EV-Zertifikate, das sind 5,41% der HTTPS-Standorte. Im August wurden 489.293 zu HTTPS umgeleitet, von denen 25.158 EV-Zertifikate hatten, was 5,14% entspricht. Mit anderen Worten, der Marktanteil von EV sank um etwa 5%.

(Hinweis: 489.293 machen tatsächlich 52% der Millionenstichprobe aus, da 47.000 Standorte nicht gescannt wurden und aus der Statistik ausgeschlossen wurden).

Es stellt sich heraus, dass viele Websites tatsächlich EV-Zertifikate ablehnen . Vor einem Monat gab Scott eine detaillierte Liste der wichtigsten Standorte an, an denen EV früher eingesetzt wurde : Shutterstock, Target, UPS und die britische Polizei. Etwa zur gleichen Zeit bemerkte ichdass sogar Twitter EV aufgegeben hat.

Die Twitter-Geschichte ist ein bisschen seltsam, denn je nach Standort kann ein EV-Zertifikat auf ihrer Website angezeigt werden oder nicht. Dies sagt auch etwas über die Wirksamkeit von EV aus: Wenn sie bereit sind, sie zu entfernen oder hinzuzufügen, ist es unwahrscheinlich, dass sich die Menschen anders verhalten und der Website ohne EV weniger vertrauen. Auf dieser Basis baut der Elektromechaniker!

Desinformationskampagnen sind nicht nur Comodo und CertCentre, sondern viele andere, zum Beispiel:


Neben der Auswahl historischer Browser (wie alt ist dieses Bild?!) Wird im Artikel durch Angabe folgende Aussage gemacht:

"Experten für Web-Sicherheit empfehlen die Verwendung des EV SSL-Zertifikats für Plattformen wie E-Commerce, Banken, Social Media, Gesundheitswesen, Behörden und Versicherungsplattformen."

Ich bin mir nicht sicher, auf wen sie sich in den ersten Worten beziehen, aber ich weiß, dass diese Aussage abgesehen von Banken einfach kein Wasser für andere Branchen ist. Es ist leicht zu zeigen, wie grundlegend falsch es ist.

Hier sind die weltweit größten E-Commerce-Sites . Klicken Sie auf jeden und sehen Sie, ob er EV hat:

  1. Amazon
  2. Netflix
  3. ebay

Man kann sagen, dass Alexa Netflix fälschlicherweise als E-Commerce-Site eingestuft hat. Dann schauen Sie sich den nächsten populären Walmart.com an - und erhalten das gleiche Ergebnis. Es gibt nirgendwo ein EV.

Weitermachen Bei Social Media die gleiche Situation :

  1. Facebook
  2. Twitter
  3. LinkedIn

Wie bereits erwähnt, hat Twitter eine kleine Identitätskrise in Bezug auf die Unterstützung von EV. Überprüfen Sie daher die viertgrößte Website: Pinterest .

Auf den beliebtesten Gesundheitsstandorten der Welt gilt Folgendes :

  1. Nationales Institut für Gesundheit
  2. Webmd
  3. Mayo-Klinik

Nein EV. Allgemein. Nicht der einzige.

Ich konnte keine klare Liste der größten öffentlichen Websites finden, also zog ich die Daten aus dem nächtlichen Alexa Top 1M von Scott heraus und wählte die größten Websites im Bereich .gov aus. Das National Institute of Health ist das größte, aber wir haben es bereits überprüft, nehmen Sie also die folgenden drei:

  1. Indische Agentur für eindeutige Identifikation (die andere grundlegende Probleme mit der HTTPS-Unterstützung hat )
  2. Steuerinspektion Indiens
  3. GOV.UK

Inzwischen haben Sie bereits erkannt, dass die Chance, EV zu treffen, zumindest minimal ist. Sie haben recht - kein einziger Treffer.

Schließlich die Top-Versicherungsstandorte :

  1. United Services Automobile Association
  2. Kaiser Permanente
  3. Geico

Wir haben einen gefunden! USAA hat wirklich ein EV-Zertifikat! Die anderen beiden nicht, aber das ist zumindest etwas, richtig?

Wenn "Web-Sicherheitsexperten" EV für diese Website-Klassen empfehlen, werden diese Websites offensichtlich nicht auf sie aufmerksam. Diese Empfehlungen sind also poetisch.

Ein weiterer Satz unbegründeter Behauptungen zu SSL ist, dass EV "die Konvertierung von Transaktionen erhöht", "die Abweichung vom Einkaufswagen verringert" und "vor Phishing-Angriffen schützt". Man kann verstehen, warum sie solche Aussagen machen: Der Grund dafür ist in Form von Knöpfen unmittelbar unter dem Text sichtbar:



Wir sind also wieder zu offensichtlichen Vorurteilen zurückgekehrt. Aber hey, sie versuchen nur Geschäfte zu machen, also verstehe ich die Motive. Man kann immer noch davon ausgehen, dass ein Unternehmen gegründet werden möchte, das die Konversion erhöhen möchte, nicht wahr? Nun, es ist lustig:



Selbst der EV-Verkäufer ist schlau genug, kein Geld dafür auszugeben! Darüber hinaus erinnern wir uns daran, dass die „grüne Adressleiste“ selbst dank des populärsten Browsers der Welt, der sie in Version 69 getötet hat, vollständig verschwunden

ist . Es gibt einen Streit mit Phishing. Es wird oft gesagt, dass EV es irgendwie reduziert. Genau dies ist auf der Folie der Entrust-Präsentation von Anfang dieses Jahres vermerkt:



Es gibt hier eine ganze Reihe von Betrügereien, und zur Analyse lesen Sie am besten diesen Thread von Ryan Slevi. Er analysierte die Studie, auf der die Folie basiert.

Ryan ist ein sehr intelligenter Kryptograph, der an Chromium arbeitet, und er hat eine hervorragende Fähigkeit, jeden Unsinn klar darzustellen. Am Ende fasst er die Situation zusammen: “Im Allgemeinen ist das ein schlechter Artikel. Schlimmer noch, sie versuchen, es als "Datenstudie" auszugeben. Gleichzeitig werden eine fehlerhafte Methodik und ein selektiver Ansatz verwendet, um ein Geschäftsmodell zu unterstützen, das von Benutzern abhängt, die vollständig dafür verantwortlich sind, Änderungen an der Benutzeroberfläche zu erkennen. “

Das heißt, wir kehren zu der Tatsache zurück, dass EV nur dann effektiv ist, wenn Menschen ihr Verhalten aufgrund einer Änderung der Benutzeroberfläche ändern. In der Realität wissen die Menschen nicht, worauf sie achten müssen, und diese Veränderung besteht allmählich nicht mehr. Entweder ist die Veränderung zu unbedeutend, als dass die Leute darauf aufmerksam werden könnten. Erinnern Sie sich an den ersten Screenshot in dem Artikel, in dem der Safari-Browser den registrierten Firmennamen nicht mehr im EV-Zertifikat anzeigt? Vergleichen Sie es mit dem Screenshot meines Blogs, der auch in Safari unter iOS 12 geöffnet ist:



Den Unterschied sehen? Die URL der EV-Site und die Burg daneben sind jetzt grün, während die DV-Site schwarz ist. Um nun ein entsprechendes Warten für Benutzer zu erstellen, müssen sie sie dazu auffordern, nach grünen URLs und einer Sperre zu suchen ... es sei denn, sie verwenden Chrome, wodurch alle grünen Elemente vollständig gelöscht wurden! Es ist offensichtlich, wie lächerlich es ist, den Benutzern solche Nuancen im Browser zu erklären, insbesondere im Hinblick auf die Geschwindigkeit ihrer Änderungen.

Zurück zur Über SSL-Site gibt es ein Video, in dem der Referent die Vorteile von EV in den von uns besprochenen Thesen erläutert. Video ca. 6 Minuten, wenn Sie die Geduld haben, sich das anzusehen:


Wir können direkt zum Interessierten gehen, zum Beispiel, wenn der Lead (und der Product Marketing Manager von Comodo ) über die Wichtigkeit von EV für eine Finanztransaktion sprechen:

"Im entscheidenden Moment bei der Entscheidung, ob eine Transaktion abgeschlossen werden soll, gibt dieser auffällige visuelle Indikator (grüne Linie EV) mit Informationen, die den Namen, den Standort und die Zertifizierungsstelle des Unternehmens bestätigen, das nötige Vertrauen, um eine Entscheidung zu treffen."

Die These wird durch einen Screenshot der Website Excalibur Cutlery & Gifts untermauert :



Wahrscheinlich haben Sie bereits das Gefühl, dass es sein wird ... und Sie haben Recht:



Nein EV. Kein kommerzielles DV, sondern ein ganz normales, kostenloses Let's Encrypt-Zertifikat. Das Video ist wie aus einer archaischen Ära: Es öffnet Seiten in IE8 unter Windows XP ... Ich kann nichts tun, aber es besteht das Gefühl, dass die Situation etwas veraltet ist. Es stellte sich heraus, dass es so ist:



Ich würde das Video vor fast zehn Jahren nicht von den heutigen Positionen aus bewerten, aber es werden dort die gleichen Thesen ausgedrückt wie heute. Und natürlich wird ein Artikel mit diesem Video von einem Tweet referenziert , der vor einem Monat unter dem Deckmantel eines "wichtigen Leitfadens zum erweiterten SSL-Validierungszertifikat" veröffentlicht wurde. Alles ist also fair.

Comodo wird nicht zum ersten Mal verwendet, um EV-Websites ohne EV zu bewerben . Zuletzt zeigte mir jemand einen Brief von Comodo mit einer Erinnerung an die Erneuerung der Domain:



Natürlich interessierte er sich für die Website Mostlydead.com und wollte sehen, wie die "Umsatzsteigerung um 20%" (laut Ken Creece) verlief. Nun, Sie verstehen, denn EV erhöht das Vertrauen der Verbraucher. Es sieht nach mehr aus:



Je mehr Sie in das Thema eintauchen, desto mehr sind Sie davon überzeugt, dass EV ... fast tot ist. Immerhin ist dies nicht nur eine zufällige Website, die von EV auf DV verschoben wurde. Dies ist eine Site, die speziell ausgewählt wurde, um den Wert von EV zu demonstrieren.! Es sollte ein Beispiel für den EV-Wert sein, und Comodo macht ihn bis heute bekannt. Wir sehen jedoch, dass Ken Crease seine Meinung über die Effektivität von EV eindeutig geändert hat (und vielleicht hatte er diese Meinung nie).

Die Situation mit EV sieht



jetzt so aus: Aber wir sind noch nicht fertig: Ich möchte eine andere Site erwähnen, die zuvor ein EV-Zertifikat hatte und nun zu DV zurückgekehrt ist. Dies ist die Website:


Anmerkung des Übersetzers: Die HIBP-Website mit einer Datenbank gestohlener Konten wurde von Troy Hunt selbst erstellt.

Ich habe das Zertifikat vorgestern geändert und bis jetzt hat es noch niemand erwähnt. Keine Keine Seele, und mein Publikum ist mit solchen Dingen viel besser vertraut als der durchschnittliche Benutzer. Natürlich fehlte es nicht an Leuten, die in dieser Zeit eine Veränderung bemerkt haben könnten:



Vor fast zwei Jahren habe ich darüber geschriebenIhre Reise in die Welt der EV-Zertifikate . Wie in vielen meiner Artikel lernte ich unterwegs; Ich wollte den EV-Zertifizierungsprozess selbst durchlaufen (andere haben es immer schon gemacht) und ich wollte sehen, ob es wirklich eine Bedeutung hat. Zu dieser Zeit habe ich den Artikel ehrlich nicht verstanden und so fertiggestellt:

„Alle diese Stücke mit EV-Zertifikaten sind schwer wertmäßig zu messen. Ich habe keine Ahnung, wie viele Personen ihre E-Mail-Adresse im Dienst überprüfen werden, wie viel mehr Medienberichterstattung oder Spenden sie erhalten werden. Keine Ahnung. "

Zwei Jahre später bin ich von der Schlussfolgerung überzeugt: Es gibt keinen Wert. Dies bedeutet jedoch nicht, dass die Verfügbarkeit eines solchen Zertifikats nachteilig ist. Es gibt einfach keine Vorteile. Als sich das Erneuerungsdatum näherte (14. Dezember), rief ich an und bat, es im Voraus zurückzuziehen, um zur kostenlosen, freigegebenen Cloudflare zurückzukehren. Es gibt absolut keinen Grund, für die Verlängerung zu zahlen (ich habe sofort 472 $ für ein zweijähriges Zertifikat gezahlt), und es gab keinen Grund, auf das Verfallsdatum zu warten, mit Ausnahme der Abneigung gegen Verluste , und es ist genauso sinnvoll wie EV-Zertifikate.

Ich habe mich oft gefragt, was es bedeutet, in einer Ära frei verfügbarer Zertifikate für EV- oder DV-Zertifikate zu bezahlen. Ich besuche viele Unternehmen auf der ganzen Welt, diskutiere über HTTPS, und wenn ich versuche, diese Frage zu untersuchen, höre ich regelmäßig den Satz "Ich habe noch niemanden entlassen, weil er IBM gekauft hat." Ich suchte nach einem guten Link, um die Bedeutung dieses Ausdrucks zu erklären - und fand einen großartigen Link in der Definition von FUD aus Wikipedia :

„Durch die Verbreitung zweifelhafter Informationen über die Mängel von weniger bekannten Produkten kann ein etabliertes Unternehmen Entscheidungsträger daran hindern, diese Produkte unabhängig von ihren relativen technischen Vorzügen anstelle der eigenen zu wählen. Dies ist ein anerkanntes Phänomen, das durch das traditionelle Axiom des Einkaufsagenten verkörpert wird: "Bisher wurde noch niemand für den Kauf von Ausrüstung von IBM geschossen". Ziel ist es, dass IT-Abteilungen die technisch schlechteste Software kaufen, da das Top-Management die Marke eher erkennt. “

Mit anderen Worten, die Menschen treffen unwissende Entscheidungen darüber, was sie aufgrund der Marketing-FUD für "sicher" halten. Ich vermute, dass eine ähnliche Einstellung bei Unternehmen besteht, die "Sicherheitssiegel" von Drittanbietern auf ihren Websites platzieren. Sie haben nicht genug Wissen und Verständnis dafür, dass sie die Risiken tatsächlich erhöhen können , aber verdammt, sie wurden so beworben!

Also ja - es gibt kein EV mehr auf HIBP und niemand wird ihn vermissen, was völlig der Erfahrung anderer entspricht, die erweiterte Validierungszertifikate abgelehnt haben:


"Diesen Monat haben wir EV verlassen, die Geschwindigkeit des TLS-Handshakes verbessert und keiner hat gesagt, dass etwas fehlt."


"Auf dem Zahlungsportal haben wir das EV-Zertifikat durch @letsencrypt ersetzt:
- Automatische Erneuerung (ohne langwierigen und komplizierten manuellen Prozess, wodurch das Ablaufrisiko verringert wird)
- Preis
- Die Leute interessieren sich nicht für die Art des Zertifikats
- häufiger Updates - schnellere Wiederherstellung von möglichen Kompromissen"


„Wir haben erkannt, dass die Menschen dem niedlichen grünen Abzeichen mehr als unserem unbekannten Firmennamen vertrauen. Sparen ist ein Bonus. “


„Ich bin nicht damit einverstanden, dass die Angelegenheit im Preis liegt. Target und andere Giganten interessieren sich nicht für 1000 Dollar für ein Zertifikat. Ich denke, der Punkt ist das Bewusstsein. Ich weiß, dass ein EV-Zertifikat vor 18 Monaten eine gute Idee für meine .org-Site war. Aber werde ich es erneuern? Nein! Weil ich ihre Sinnlosigkeit erkannt habe. "


„Ich kann nicht sagen, was der Hauptfaktor wurde: 1. Die Notwendigkeit eines Platzhalters zur Erhöhung der Flexibilität. 2. Die Kosten sind nicht mehr gerechtfertigt, insbesondere wenn mehrere Subdomains berücksichtigt werden. 3. Aufgrund der mangelnden Bekanntheit der Benutzer hat kaum jemand die Veränderungen bemerkt. “

Der Artikel war lang, denn jedes Mal, wenn ich mich zum Schreiben setzte, tauchten neue Beweise für die absolute Sinnlosigkeit von EV auf. Ich fing an, Notizen zu machen, lange bevor einige der aufgeführten Ereignisse auftauchten, einschließlich der Veröffentlichung von Chrome 69 und der Entfernung der grünen Adressleiste, was eine der Haupttrümpelchen des EV-Marketings bedeutete. Dies soll nicht heißen, dass EV die einzige Technologie ist, die nach und nach aus tausend Schnitten gestorben ist. Einst waren solche Zertifikate ein gutes Produkt, aber jetzt ist die Situation völlig anders - und dies ist nur ein sinnloses Relikt einer vergangenen Zeit. Browserhersteller sind sich dessen bewusst und handeln entsprechend. Nur eine Frage der Zeit, wenn der letzte Nagel in den Sarg von EV gehämmert wird:


Chrome Canary v70 versucht, die Namen der Unternehmen EV-SSL zu entfernen. Ich frage mich, ob es in die endgültige Veröffentlichung fallen wird.

Wenn Chrome den visuellen EV-Indikator endgültig aus dem Browser entfernt (genau wie auf mobilen Geräten und wie in der Safari-Reihe von Apple), wird dies gut sein und EV endgültig ein Ende setzen. Vielleicht wird dann die FUD endlich enden.

Ich werde Ihnen noch einen letzten kleinen Beweis für die absolute Sinnlosigkeit von EV geben: Dies ist mein Vortrag in London zu Beginn dieses Jahres. Hier ist der Moment, in dem ich anfange, über EV zu sprechen, und gerade die Interaktion mit dem Publikum ist hier von Bedeutung. Sehen Sie, wie der Raum voller intelligenter Techniker reagiert, wenn ich frage, welche visuellen Indikatoren er auf populären Websites erwartet. Genieße es!


Jetzt auch beliebt: