为什么我们需要表明身份:EV证书的价值
尽管备受争议,扩展验证证书仍拥有巨大的价值......
上周,一位以“我已经被攻破了吗?”工具闻名的安全专家、教育家Troy Hunt,写了一篇很长的专栏文章,论述扩展验证(EV)证书的价值。
在这篇文章中,他对EV证书的价值以及用户是否注意到EV证书提出了疑问。他得出结论:
“底线是,迄今为止,EV证书的有效性完全依赖于人们是否认可它们以及实际上是否相应地改变自己的行为。这是很难争辩的···”
诚然,EV证书的确依赖于用户对它们是否关注以及是否使用那些信息。但这就意味着EV证书没有价值吗?
在深入探讨这个问题前,让我们来看一看各种验证的区别:
域验证(DV)和扩展验证(EV)是SSL证书的两个主要类别。DV正如其名,只能确定你的浏览器地址栏中显示的域是该证书的所有者。这是使用一种自动化的技术手段实现的——如为上述域创建一个单独的DNS记录。
EV证书也同样这么做,但除此之外,它们还会确认网站是由一个合法建立的公司运营的。这是由证书颁发机构的工作人员在政府机构的官方数据库和其他可靠数据源的帮助下完成的。公司的名称(以及公司是在哪个国家注册的)会在终端用户的浏览器中显示:
正如Troy所说,DV证书会告诉你“该连接是安全的”,而EV证书会告诉你“该连接是安全的,并且你知道你正在和谁对话”。
在互联网上,知道你正在和谁对话是非常有价值的。花费在外面吃一顿正餐的钱,你就可以创建一个网站并宣称代表任何人(或任何事物),而不需要提供太多个人信息。
考虑到互联网上虚假网站和钓鱼网站的绝对数量,我认为我们所有人都会对以下观点表示同意:了解更多关于网站运营者的信息是有益的。
你的计算机并不真正了解它所访问的网站的任何事情。它将会愉快地为你展示你所访问的任何主机名或IP地址的内容。
对你的浏览器来说,Paypal.com和FakePaypal.com只是两个不同的地址而已。对于人来说,显而易见的是,这两个网站中有一个不是真正的Paypal网站(尽管在真正的钓鱼网站中,差别不会如此明显)。你的计算机只看到另一个具有HTML、CSS、Javascript和其它可以为你显示的文件的互联网地址。
从技术视角来看,这正是你的浏览器需要做的事。尽管这往往不符合用户的目的,因为这些用户对连接到合法网站比对DNS和IP路由的技术奇迹感兴趣得多。
当我们纵观全局时,可以看到谷歌的Chrome浏览器的设计也符合这一观点:
我们Chrome浏览器安全团队建议,用户代理(UA)逐步将他们的UX转变为将非安全来源显示为“肯定非安全”。为的是更清楚地向用户显示HTTP有多么不安全。
T0(目前):非安全来源未被标注
T1:非安全来源被标注为可疑的
T2:非安全来源被标注为非安全的
T3:安全来源未被标注
目前,我们正处于该计划的“T0”和“T1”两个阶段之间——今年晚些时候,Chrome浏览器会开始在更多的HTTP网页上显示“非安全”警告。
Chrome浏览器想要这样做的原因之一在于一台计算机要确定你的连接的安全性的难度到底有多大。
HTTPS只能保证你的数据被安全地发送到你连接的服务器。此后发生的事情就没人知道了。
Cloudflare的灵活SSL在你和Cloudflare之间提供了一个安全连接,但并不是从Cloudflare到原始服务器,它就是一个浏览器不了解你的数据在互联网上全部行程的例子。
Chrome浏览器可能并不喜欢把确认你的连接是否安全作为自己的责任。它只会在知道连接不安全时做出一些提示,因为这就是所有它能够做到的。
相对比较简单的是判断网站是否合法或你是否需要向网站提供个人信息或信用卡信息。有希望的是,我们都知道那是因为一个网站使用HTTPS并不一定意味着你向它提供个人信息是个好主意。
这一决定所需要的信息比HTTPS所能提供的技术保证要多,所以这种判断需要由用户来做出。
但这并不是说就没有其他机制来保护用户。像谷歌安全浏览和微软SmartScreen这样的系统,对于保护用户免受钓鱼网站以及被报告受到恶意软件感染的网站侵害来说,具有非常重要的价值。
然而,这些系统并不完美。它们有时候会花费超过一天的时间才能标识出一个网站,这意味着错失了重要的时间窗口,在此期间很多用户受到了侵害。这些系统也没有被用来建立网站的身份,因此只能部分实现EV证书的目标。
Troy说,“EV证书是一种人为控制的证书”,这是一个问题。但评估一家网站在现实世界中的身份和合法性并不是我们的浏览器适合做的事情。毕竟,从技术观点来看,你的浏览器只是想让你登录到FakePaypal.com,因为它的确是一个真实的网站。
EV证书的价值是显而易见的。它的价值就在于,它有能力比你的浏览器了解网站的更多信息,而浏览器只能通过连接到主机名、解析证书文件以及核实加密密钥来评估一个网站。
EV证书——以及所有与HTTPS相关的指标——可以变得让用户更容易理解,在这一点上Troy也是对的。这个例子就是明证——在Chrome浏览器半近期重新设计之前,用户识别和理解挂锁图标是非常困难的。一些用户将它误认为是一个钱包。
但这并未消除对于网络身份识别的需要或降低EV证书的价值。它只是意味着,我们需要更好的解释——这是当涉及到安全和一般的互联网用户时的共同主题。
为什么我们需要表明身份:EV证书的价值相关推荐
- 一篇文章看明白什么是DV、OV、EV证书
目录 一.序言 二.DV/OV/EV证书说明 三.DV/OV/EV证书区别 WIN系统 OV型和EV型证书在浏览器显示效果 WIN系统 DV证书显示效果 MAC Firefox火狐浏览器DV证书显示 ...
- 如何判断一个数字签名证书是不是EV证书?
如何判断一个数字签名证书是不是EV证书?下文为大家介绍2种简单的识别EV证书的方法. 一.通过浏览器地址栏显示的绿色企业名来判断 访问部署证书的网站,看一下URL,如果域名前缀是https并且有绿色安 ...
- 什么是EV ssl证书,企业有没有必要申请EV证书?
什么是EV ssl证书 EV SSL证书是Extended Validation SSL的缩写又名扩展验证证书,指遵循全球统一的严格身份验证标准颁发的SSL证书,是目前业界最高安全级别的SSL证书.在 ...
- HTTPS证书:DV、OV和EV证书的区别
免费证书申请网站 : https://freessl.org HTTPS 免费证书,免费 ssl 证书,FreeSSL.org 申请多种免费证书: https://yq.aliyun.com/arti ...
- DV、OV、EV证书分别是什么
DV.OV.EV证书分别是什么 1. OV证书:企业级 OV:Organization Validation(组织验证) 企业型:用于教育.政府.互联网等行业,例如外交部.京东.腾讯新闻.国家电网.用 ...
- Ocp证书的价值以及拥有它的意义!
Ocp证书的价值以及拥有它的意义![@more@] Ocp证书的价值以及拥有它的意义 常在pub上看到一些无聊的人说ocp证书不值钱.没啥用.证书泛滥了,背题库考太简单了,没啥意义等话题.最近我的几个 ...
- OV、DV、EV证书的区别
区别 类型 DV OV OV Pro EV EV Pro 身份验证(审核) dns验证,无审核 企业级证书,审核严格 企业级证书,审核最严格(不支持个人申请,电话验证严格 ) 品牌 ...
- 【SSL】OV、DV和EV证书的区别
关于https证书 https协议需要到ca申请证书,一般免费证书很少,需要交费. http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议. http和https使用 ...
- 申请OV、EV证书需要什么资料?邓白氏编码是什么?
申请SSL证书是需要向CA机构提交认证资料,验证通过才会颁发证书.不同类型的SSL证书需要的验证资料不同,按照验证来分,可分为DV SSL证书(域名型验证).OV SSL证书(组织型验证).EV SS ...
- SSL证书中DV、OV、EV证书的区别有哪些
现在SSL证书有很多品牌,每个品牌SSL证书又分成三种类型证书.SSL证书分为DV型SSL证书.OV型SSL证书.EV型SSL证书.虽然都是SSL证书,但在申请方式及展现形式却有些区别. 区别一:申请 ...
最新文章
- ASP.NET格式化日期
- web安全之信息刺探防范(上)
- 加减法叫做什么运算_期中备考:数学运算定律、法则与顺序
- ILockBytes Windows Mobile 6.5
- 《CLR via C#》读书笔记 之 类型和成员基础
- 粒子群优化算法_每日论文19:粒子群优化算法综述
- 二、lvm条带化的概念
- 转:ORACLE 中ROWNUM用法总结!
- centos6.8安装php7.3,CentOS7.6源码编译安装PHP 7.3.8
- Bootstrap全局css样式_辅助类
- 笔试算法复习——数组去重
- c语言去字母的其中三个,请问这个用c怎么做:输入一串字符,分别统计其中数字和字母的个数...
- OpenCV文档阅读笔记-Imread flags解析与实例(保存透明图像)
- Python3.2官方文件翻译-工具列表和十进制浮点计算
- win32 API 调用方法
- 遥感图像计算机自动分类原理,遥感原理与应用_第5章_2遥感影像解译-遥感影像计算机自动分类讲义.ppt...
- 富士胶片将作为全球合作伙伴赞助菲利普·科特勒教授发起的2019年世界营销峰会,并在网站发布专访
- 彩色图片如何转为单色位图bmp :用window画板
- iOS中物理单位换算
- BOJ 427. 学姐逗学弟