售前咨询
技术支持
渠道合作

Google和Mozilla为什么要删除EV SSL网站标识?

最近在国会,GDPR等方面存在巨大的保护消费者隐私的浪潮。但我们如何在不确定要求消费者密码和信用卡号码的网站的身份的情况下保护网络上的用户隐私?扩展验证(EV)证书提供此信息,对消费者非常有用。

最近,Google和Mozilla宣布计划取消Chrome和Firefox浏览器中的独特指标,让消费者知道他们正在查看使用EV证书进行身份验证的网站。我们认为这是一个错误。并且希望看到Mozilla和Google努力提出使用EV数据的创新方法。而不是将其隐藏起来。

关于网络上的身份和隐私的重要故事。

大约十年来,想要向用户显示其已确认身份的网站在从其证书颁发机构(CA)购买SSL / TLS证书时已经过扩展验证(EV)流程。该流程涉及多个步骤,模仿银行“ 了解您的客户 ”规则。扩展验证包括确认控制证书域名的组织已正式合并并保持良好信誉,采取措施确认其为“真实业务”,确认其业务地址和电话号码,并确认订购证书的人员的权限。然后将此已确认的身份信息插入EV证书中,并对其进行加密签名,以便欺诈者不会对其进行更改或模仿。

每个EV证书都包含有关该网站背后组织的大量信息。例如,这是颁发给美国银行的EV证书:

此信息显示,美国银行是特拉华州,美国公司,特拉华州公司注册号为2927442,并在芝加哥有确定的营业地点。这些信息明确地标识了控制网站www.bankofamerica.com的组织  ,并在网站上发生任何不良事件时向世界(用户,执法等)提供联系信息甚至可能的追索权。世界上所有CA都遵循相同的EV验证流程,并以相同的方式在EV证书中插入身份信息。该过程已在CA /浏览器论坛开发和维护的扩展验证指南中标准化  。

许多大型企业,包括银行,金融机构,医院中心等,使用EV证书来保护他们的客户及其品牌免受许多试图模仿它们的网络钓鱼者的攻击。

EV证书的主要替代方案是域验证(DV)证书,其不包含身份信息。

DV证书仅确认网站所有者控制DV证书中的域名。在许多情况下,发行CA不知道网站所有者是谁,并且通常无法联系所有者!以下是网站whoami.com的DV证书中的所有身份信息  :

在过去十年中,浏览器使用具有独特EV用户界面(UI)的EV证书来区分网站,因此用户可以知道网站所有者的身份已被第三方CA强烈确认。因此,在拥有EV证书的网站上几乎没有网络钓鱼,而网络钓鱼者已使用匿名DV证书迁移到加密,而DV网站上的网络钓鱼却飙升。

谷歌Chrome和Mozilla Firefox将很快消除当前的EV用户界面

不幸的是,谷歌Chrome已经宣布将在2019年9月中旬推出下一版浏览器Chrome 77,从而消除独特的EV用户界面; Mozilla将在10月份做同样的事情。此更改后,用户只能看到网站的URL,与DV网站相同。以下是用户界面的前后示例 – 在本例中,适用于使用EV证书的美国参议院网站。

之前 ,在Google Chrome 76中

之前 ,在Firefox 69 for GitHub中,带有EV认证的绿色指示灯:

之后 ,在Firefox 69中使用GitHub,没有用于EV身份验证的绿色指示器:

我们认为这是一个不受欢迎的变化,是基于对强大的网站标识标记的好处的错误或不完整的分析。

以下是我们认为Google和Mozilla应该改变其决策并在其EV UI中恢复网站身份以提高用户和其他人安全性的原因。

DV网站上的网络钓鱼正在飙升。 用户在拥有EV证书的站点上更安全。

直到最近,几乎所有网络钓鱼和恶意软件都在未加密的  http  网站上。他们获得了一个中立的用户界面,坏人不必花时间和金钱获得证书,甚至是DV证书,这可能会留下他们身份的痕迹。用户接受了培训(并记住了培训)以“寻找锁定符号”以获得更高的安全性。

然后发生了一些事情:(1)谷歌通过使用“不安全”警告激励所有网站转向加密,(2)Mozilla制定了类似的“不安全”警告,以及(3)让我们的加密开始提供匿名,向所有人提供自动DV证书,包括已知的网络钓鱼站点,部分来自Mozilla和Google的白金级财务支持。

可以预见的是,几乎所有网络钓鱼现已转移到DV加密网站,这些网站在Web浏览器上接收锁定符号。实际上,  FBI刚刚向消费者发出警告,不再信任浏览器中的https或锁定符号,因为  一半或更多的网络钓鱼站点现在显示锁定符号。

浏览器尚未赶上这一点。浏览器网络钓鱼过滤器(例如Google安全浏览)很好,但并不完美。 根据2018年10月发布的最新NSS实验室报告,Google Safe Browsing在“零时”仅提供约79%的用户保护,两天后逐渐提升至95%的保护。但是,大多数网络钓鱼站点都会在两天内关闭 – 这意味着在网站被标记为网络钓鱼之前,可能会有数千名用户受到伤害。

这就是EV证书可以提供帮助的地方。 拥有EV证书的网站的网络钓鱼发生率非常低。 亚特兰大亚琛工业大学  最近在Usenix上发表的一项新研究使用各种验证级别的证书测量了网络钓鱼站点的发生率。EV证书占网络钓鱼站点总数的0.4%,其中包含证书,但是7%的“良性”(非网络钓鱼)站点。与OV相比,其中15%的网络钓鱼站点具有该证书类型,35%的良性站点具有相同的证据类型。并再次与Let’s Encrypt证书进行比较,证书占钓鱼网站的34%,而良性网站只有17%。

该研究验证了2019年2月早期对3,494个加密网络钓鱼站点的研究结果  。在本研究中,按证书类型分发的加密网络钓鱼站点如下:

· EV 0网络钓鱼站点(0%)

· OV 145网络钓鱼站点(4.15%)

· DV 3,349个网络钓鱼站点(95.85%)

(这些网络钓鱼OV证书主要是CDN要求的多SAN证书,例如Cloudflare,其中包含OV证书主题无法控制的网站的多个URL。也许这些证书应该是DV而不是OV。)

此外,  乔治亚理工学院的研究  表明,EV网站与恶意软件和已知不良行为者的关联率极低。

简而言之,当用户访问具有EV证书的站点时,用户会更安全,并且用户可以让他们知道。

用户不对积极的安全指标采取行动的想法错过了标记。

浏览器公司  已经  声明,因为最终用户不了解浏览器上的EV标记,并且不对它们采取行动,所以它们是不必要的,并且只能由不安全 ,未加密,网站的积极指标替换。

我们认为此分析错过了以下内容:

今天的互联网有一个明确的信号,表明终端用户在EV指标中的安全性。 浏览器应该将此视为教育用户的机会,而不是带走有用的信息。

用户不是一个单一的同质群体,并且他们并非都表现出相同的行为。 事实上,阅读此博客文章的大多数人都会注意到EV指标是否存在。向某些用户提供此证据比向任何人提供此证据更好。

用户行为根据上下文而变化。 每天,当一切进展顺利时,网站访问者可能遭受“界面失明”。但是当一些可疑的事情发生时,他们就会变得神秘。并且,在追究在线犯罪的肇事者时,EV证书的存在使执法人员能够明确前进。

积极的安全指标在许多其他预期可预测的环境中起作用, 并且标准和教育在浏览器中也会更好。身份安全指标无法满足这些相同标准。遗憾的是,浏览器中的EV安全指标不一致,并且随着时间的推移会发生变化,因此很难成功地教育用户。如果像主要浏览器和操作系统供应商这样的公司将此作为优先事项,那么这些缺点都是可以解决的。

仅依靠URL不足以保护用户

如果没有Chrome或Firefox中的EV身份指示器,用户将不得不依赖URL和插页式警告,以确定是否存在网上诱骗网站。但  正如谷歌安全研究人员所说,“人们很难理解网址。它们很难阅读,很难知道它们中的哪一部分应该被信任,而且一般来说我认为URL不是传达网站身份的好方法。“

EV UI不要求用户仔细检查URL,它只是识别网站所有者并向用户保证该网站已经过身份验证,并且可能不会受到网络钓鱼的攻击。

EV用户界面的一些反对者说它应该消失,因为用户不理解或不知道如何评估显示的特定组织信息。

这是改进EV指标的一个原因,而不是将其删除。改进的EV UI可以显示易于理解的“身份/无身份”指示符 – 绿色锁定符号和身份URL(EV),黑色表示无身份(DV)。如果用户想要查看身份站点的特定组织信息,只需单击绿色锁定符号即可显示该信息。通过一些用户培训(例如弹出几个月解释绿色UI的含义),用户可以从这些信息中受益。

独特的EV指标提供主动安全性,而浏览器网络钓鱼过滤器仅具有追溯性,这意味着某些用户会受到伤害

让浏览器检查证书并向用户指示其状态是主动安全性。相比之下,依靠浏览器过滤器来保护用户免受网络钓鱼的攻击就像是让人们匿名上飞机,但承诺将未来航班的任何乘客列入黑名单,他们用武器偷偷登机,并攻击其他乘客。更糟糕的是,如果没有认证,被禁止的网络钓鱼者可以关闭他们的网站并匿名运行来自新域名的相同骗局 – 免费从网络钓鱼过滤器中再过几天。

奖励具有独特EV UI的已识别网站是在向网站提供任何个人数据之前主动提供用户安全性的一种方式。

果公共识别EV UI增加,则网络钓鱼者不会开始使用EV证书

最后,一些行业观察者反对如果用户对EV站点的信任增加,那么网络钓鱼者将开始获得EV证书。这是可能的,但请记住: 一旦带有EV证书的网络钓鱼者将其用于骗局,发行人可能会撤销证书并将组织的*名称*及其网络钓鱼域名添加到其标志列表中, 以及组织(特定的)通过名称,公司注册状态和序列号识别的公司将永远无法从该CA获得另一个EV证书。

此外,CA当前正在建立一个共同的EV标志列表,因此发现有意从事网络钓鱼的公司可能无法从任何其他CA获得EV证书。这就是网络钓鱼者今天不使用EV证书的原因之一 – 如果您只能在一次网络钓鱼活动中使用公司的EV证书,那就太昂贵且耗时。

建议

我们是整合原始EV规格的团队之一。那时,我们设想EV将是一个持续的,不断发展的标准,社区继续做得更好。听到关于EV不完美的异议,人们不禁会想到关于完美成为善的敌人的格言。EV很好。它非常好,统计数据表明它有助于使网络变得更加美好。让我们专注于让它变得更好。

CA安理会认为,行业应该发展EV证书指标,而不是将其删除:

为了打击网络钓鱼并提高网站的身份标准,我们认为浏览器公司应该共同制定笔记本电脑和移动设备的通用安全指标,并与CA合作进行用户培训,以帮助用户根据可用的身份信息做出正确的安全决策。共同的指标标准非常成功。

内容来自CA安理会提供

图片来自网络

上一篇:

下一篇:

相关新闻