Objavljeno

Zakaj potrebujemo resnično svetovno identiteto: vrednost EV

Kljub nasprotnim argumentom, izdatno preverjanje (EV) zagotavlja izjemno vrednost.

V juliju je Troy Hunt, strokovnjak za varnost in učitelj, ki je znan po orodju “Have I Been Pwned”?, napisal dolg članek o vrednostih certifikatov z izdatnim preverjanjem (Extended Validation – EV).

V članku se je spraševal o vrednosti EV certifikatov in ali jih uporabniki sploh opazijo. Hunt zaključuje:

“Bistvo je, da je učinkovitost EV certifikatov dandanes odvisna od ljudi, ki prepoznavajo [sic] kaj mislijo, in ustrezno prilagajajo njihovo vedenje. Težko se je sprijazniti s tem … “

To je vsekakor res. EV certifikati se zanašajo na uporabnika, da jih opazi in uporabi ta podatek. Ampak ali to pomeni, da EV certifikati nimajo vrednosti?

Preden se lotimo tega vprašanja, si vzemimo trenutek, da najprej predstavimo izraze:

Preverjanje domene (Domain Validation – DV) ali izdatno preverjanje domene ( Extended Validation – EV) sta dve glavni vrsti SSL certifikatov. DV, kot že ime pove, potrjuje le, da je domena, prikazana v naslovni vrstici brskalnika, lastnik potrdila. To se ugotovi z uporabo avtomatiziranega tehničnega ukrepa – kot je ustvarjanje edinstvenega zapisa DNS za navedeno domeno.

To potrdijo tudi EV certifikati, vendar poleg tega potrjujejo, da spletno stran upravlja pravno ustanovljena družba. To potrjuje človeški uslužbenec certifikacijskega organa s pomočjo uradnih vladnih podatkovnih zbirk in drugih zanesljivih virov podatkov. To ime podjetja (in država, v kateri je registrirano) se končnemu uporabniku prikažejo v brskalniku:

Kot trdi Troy, vam certifikati DV sporočajo, da je povezava varna, medtem ko z EV certifikati veste, da je povezava varna in tudi s kom komunicirate. S kom komunicirate po internetu je koristna informacija, saj lahko zelo poceni naredite spletno stran in trdite, da ste kdorkoli, brez da bi podali veliko osebnih podatkov.

Glede na velik obseg spletnih goljufij in spletnih mest za lažno predstavljanje, se lahko vsi strinjamo, da bi lahko vedeli več o tem, kdo upravlja spletno mesto.

Google Chrome je trenutno v sredi zelo dolgoročne spremembe, ki bo bistveno spremenila trenutne varnostne kazalnike. Namesto prikaza ikone ključavnice, ko je povezava varna, bo Chrome preklopil na prikaz negativnega indikatorja, če stran ni varna.

Mi, varnostna skupina Chrome predlagamo, da uporabniški agenti (UA) postopoma spremenijo UX in prikažejo prvotno “Ni varno” kot potrjeno “Ni varno”.

Cilj tega predloga je, da uporabnikom jasno prikazujejo, da HTTP ne zagotavlja varnosti podatkov.

T0 (zdaj): “Ni varno” niso označene
T1: “Ni varno”, označene kot sumljive
T2: “Ni varno”, označene kot “Ni varno”
T3: Varni izvor brez oznake

Chrome je sedaj med točko T0 in T1. Še v tem letu bo Google na HTTP strani dodal oznako “Ni varno”. Chrome se raje ne bi ukvarjal z odgovornostjo, da je neka povezava varna, ampak bi raje sporočil, kdaj ni varna, saj to lahko ugotovi.

Kar je sorazmerno enostavno v primerjavi s presojanjem, ali je spletno mesto legitimno in ali bi mu lahko posredovali vaše osebne podatke ali kreditno kartico. Upajmo, da vsi vemo, da samo zato, ker spletna stran uporablja HTTPS, ne pomeni, da je vedno dobra ideja, da ji podate svoje osebne podatke.

Ta odločitev zahteva več informacij kot samo tehnično garancijo, ki jo HTTPS lahko zagotovi. In ta odločitev je tista, kjer uporabnik pride v veljavo.

Troy pravi, da je težava, da so “EV certifikati človeški nadzor”. Ampak ocenjevanje resnične identitete in legitimnosti spletne strani ni nekaj, za kar so naši brskalniki primerni. Konec koncev, s tehničnega vidika je vaš brskalnik prav tako pripravljen dovoliti, da se prijavite na FakePaypal.com, kot da je to prava stvar.