[Перевод] EV-сертификаты мертвы

0

Вот и всё, я это произнёс: сертификаты расширенной валидации мертвы. Конечно, вы ещё можете их купить (и некоторые компании с удовольствием вам продадут!), но их польза теперь снизилась с «едва ли» до «несуществующей». Изменение произошло ряду факторов, включая увеличение популярности мобильных устройств, удаление визуального индикатора EV из браузеров, из iOS (а также из MacOS Mojave):



Для иллюстрации я выбрал веб-сайт Comodo, поскольку они продемонстрировали такое отчаяние, связанное с продажей EV, буквально месяц назад прислав мне рекламное письмо с заголовком «Как получить зелёную адресную строку для вашего сайта». В письме они начинают рассказывать «альтернативную» версию правды:

Действительно, так сегодня выглядит Firefox, но они полностью забывают упомянуть в рекламном письме, что это чисто произвольный визуальный индикатор, который отдаётся на усмотрение разработчиков браузера. Очевидно, что Apple его уже убила, но даже для многих людей на Chrome веб-сайт Comodo на самом деле выглядит совсем иначе (эксперимент Chrome):

В письме говорится, как EV борется с фишингом, и утверждается следующее:

Отображение проверенного названия компании позволяет быстро определить юридическое лицо, стоящее за веб-сайтом, что затрудняет фишинг и обман.

Другими словами, если мы видим название компании — это приводит к более высокому уровню доверия, а если инвертировать это утверждение, то если мы не видим названия компании, это приводит к снижению доверия, не так ли? Проблема в том, что люди просто не ожидают увидеть название компании, и есть очень простая, эффективная демонстрация, почему это так:


Десять крупнейших в мире сайтов: нигде нет EV

Comodo продолжает убеждать в эффективности EV, ссылаясь на «недавнее исследование»:

«Недавнее исследование DevOps.com установило, что клиенты на 50% чаще доверяют и покупают на сайтах с зелёной адресной строкой».

Они ссылаются на длинную страницу в ComodoStore и хотя нигде явно это не говорится, но слова подразумевают, что исследование было каким-то независимым и беспристрастным: «Devops.com провели опрос», и другие подобные фразы. Я затвитил об этом ещё в июле, но этот скриншот говорит всё, что вам нужно знать о мотивах «опроса»:

Я честно пытался узнать заказчика этой работы, сначала написав автору Тони Бредли, а не получив ответа, запросил в твиттере @TechSpective, где он главный редактор, и @devopsdotcom (кстати, моих фоловеров), опубликовавших опрос:

В конце концов, уже совершенно очевидный факт подтвердил Тони Бредли. Он извинился за поздний ответ, потому что редко заходит в твиттер, и назвал заказчика — Comodo CA.

Хотелось бы видеть это указание в самом отчёте, потому что причастность Comodo явно ведёт к предвзятости. Это как если нефтяная компания закажет отчёт с выводом, что ископаемое топливо не вредно для окружающей среды, или табачная компания будет заявлять, что курение не вредно для здоровья. Если вы ещё думаете, что DevOps.com на самом деле верит в «пользу» EV-сертификатов, взгляните на их собственный:

Этот ресурс неоднократно упоминается в рекламном письме почте Comodo, но двинемся дальше. Далее они заявляют, что вы можете «активировать зелёную адресную строку», просто купив сертификат EV:

«Чтобы активировать зелёную адресную строку на своём сайте, вам нужно просто приобрести и установить сертификат SSL Extended Validation (EV)».

Только не в самом популярном в мире браузере для iOS:

И не в Chrome под Android, самой популярной в мире ОС:

Посмотрим Microsoft Edge на iOS, и опять этот предсказуемый результат:

Это очень, очень важные скриншоты, которые снижают ценность EV по двум ключевым причинам. Во-первых, уже почти 2/3 всех просмотров страниц в мире идёт с мобильных устройств. То есть на скриншотах выше показан преобладающий вид, о котором должен думать владелец сайта. Во-вторых, в результате компании не могут сказать своим клиентам, чтобы те ожидали EV, потому что большинство из них никогда его не увидит. Несмотря на это, Comodo предполагает, что в EV есть польза от «более длинной зелёной строки безопасности»:

«Большая зелёная строка безопасности — очень явный сигнал пользователю, что сайт безопасен».

Знаете, что именно является таким сигналом? Зелёный значок рядом с URL в Chrome на десктопе! И если вы это читаете и думаете: «Подождите, Chrome больше так не делает», то вы совершенно правы. Значок уже не выделяется и нет слова Secure:

Изменение в Chrome 69 от 4 сентября затронуло не только DV, но и сайты с EV:

Здесь я пытаюсь подчеркнуть, что визуальные индикаторы остаются полностью на усмотрение разработчиков браузеров и меняются со временем. Таким образом, фраза «Как получить зелёную адресную строку на вашем сайте» теперь ещё более неверна, чем когда она была написана! Фактически, единственное более-менее точное представление EV в этом письме — признание, что вы не можете получить сертификат EV wildcart. Но подождите! Есть легко доступное решение, просто немного дороже, оно называется многодоменным сертификатом, эта опция по умолчанию для Comodo’s Enterprise SSL Pro with EV Multi-Domain реально сэкономит вам $5002,44*:

* Примечание: нужно потратить $9746,75, чтобы получить эту экономию

Для ясности, это не четырёхлетний сертификат. Как указывает текст внизу, правила CA/B Forum ограничивают максимальный срок действия сертификата двумя годами, и после этого вам нужно вручную повторить процесс проверки и выдачи. Но блин, это не позволит нам продавать сертификаты на 4 года!

А что, если вы не продлите сертификат? Ну, вы получите такое:

Вы можете подумать: «Ну, это вроде очевидно, так же и в случае с DV», но есть нюансы. Во-первых, пренебрежение обновлением сертификата происходит с тревожной регулярностью, и это происходит и с большими парнями. Например, Microsoft забыла обновить secure.microsoft.co.uk в 2001 году. Слишком давно? Они же не обновили сертификат для домена Azure в 2013 году. И конечно, такие проблемы не только у Microsoft: так, HSBC забыла обновить сертификат в 2008 году, у Instagram такая беда случилась три года назад, а у LinkedIn — в прошлом году. Есть много, много других примеров, и все они дают понять одну и ту же прописную истину: если есть важная и повторяющаяся задача, автоматизируйте её!

Что подводит меня ко второму пункту: обновление сертификата должно быть автоматизировано, и это то, что вы просто не можете сделать, если требуется проверка личности. С сертификатом DV автоматизация делается просто, она является краеугольным камнем Let’s Encrypt и действительно важным атрибутом этого сервиса. Недавно я провёл некоторое время с командой разработчиков в крупном европейском банке, и они серьёзно подумывали о том, чтобы отказаться от EV именно по этой причине. На самом деле, не только по этой причине, был ещё риск, что им понадобится очень быстро получить новый сертификат (например, из-за компрометации ключей), что гораздо сложнее для EV, чем для DV. Кроме того, долгосрочные сертификаты фактически создают дополнительные риски из-за неработающей процедуры отзыва, поэтому быстрые итерации (например, сертификаты Let’s Encrypt действуют 3 месяца) становятся преимуществом. Сертификаты, действующие два года — это не преимущество, разве что с точки зрения заработать на них…

(Парадоксально, но история с LinkedIn по ссылке выше связана с TheSSLStore.com который является реселлером сертификатов. Вы понимаете риски, но вместо того, чтобы предложить автоматизацию как часть решения для обновления сертификатов, они предлагают решения «которые масштабируются до корпоративного уровня» от центров сертификации, таких как Comodo, которые, конечно же, проталкивают EV. Нет упоминания о Let’s Encrypt. Её громко критикуют за выдачу сертификатов фишинговым сайтам (с правильной проверкой доменного имени), хотя Comodo выдала столько же!

Отсутствие поддержки wildcard — одна из главных технических причин, почему следует избегать EV (другие причины в основном являются просто здравым смыслом), а заполнение поля subjectAltName вряд ли можно назвать достаточной альтернативой. Например, у нас wildcard-сертификат на нашем сайте Report URI, так что вы можете отправлять отчёты на https://[my company name].report-uri.com, и у нас сотни таких поддоменов. Comodo с радостью поддержит этот масштаб:

Кроме того, что у нас со Скоттом Хелмом реально нет $808 тыс., это ещё и далеко от настоящего wildcard сертификата, потому что в момент его выдачи вам придётся указать все имена хостов вместо динамического обслуживания.

И последний пункт в этом маркетинговом письме — обещание гарантии:

Оно ссылается прямо на страницу с супердорогими мультидоменными сертификатами EV и даже не пытается объяснить суть гарантии, что немного странно. Но это вполне понятно, ведь никто на самом деле не знает, что такое гарантия и обращался ли за ней кто-нибудь хоть раз. Серьёзно — это не должно быть легкомысленным заявлением, мы со Скоттом честно пытались разобраться в этом в начале года — и просто не смогли получить прямые ответы. Когда удалось вступить в диалог, то меня обвинили, что я «из нердов»:

Диалог:
Андреас Маллек: Энди, эти ребята не хотят признавать своё отличие — они слишком из нердов, чтобы понять, что у нормальных людей другие потребности, чем у людей в нердвилле. Я общаюсь и в нердвилле и в нормальном мире, ориентируясь на проблемы моих клиентов из реального мира. До встречи
Трой Хант: Андреас, я задал очень разумный вопрос и это важно, потому что сертификаты продаются с гарантией, и я пытаюсь понять, что это значит. Реальные клиенты хотят знать, что покрывает эта гарантия и есть ли документированные примеры её использования? Ты знаешь о них?

По общему мнению, это был очень неожиданный ответ не от кого-нибудь, а от исполнительного директора CertCentre, ведь он вроде как первым должен оценить высокую важность гарантии на сертификат (при условии, что она действительно важная, конечно). Если вы платите такой компании за продукт с заявленным набором функций, то будучи «нердом» вполне нормально спросить, как эти функции работают, и это не должно привести к насмешке со стороны парня, управляющего этой компанией. К сожалению, вместо ответа на вопрос Андреас применил испытанный страусиный метод:

Что действительно вызывает вопросы, так это что гарантия продаётся за деньги (конечно, вы не получаете гарантию с сертификатом Let’s Encrypt), но они не готовы объяснить, что конкретно вы получаете за свои деньги. CertCentre тоже активно продвигает гарантию как «элемент высшего уровня безопасности»:

Но друзья, если вы даже не можете правильно написать слово Warranty, каковы реальные шансы понять, что она делает?!

Ещё один гвоздь в гроб EV — это полугодовой отчет Скотта Alexa Top 1M от прошлого месяца. Там приводится обнадёживающая статистика перехода сайтов с HTTP на HTTPS:

HTTPS-сайтов уже 52%, что очень хорошо для интернета в целом. Но меня заинтересовал такой комментарий относительно EV:

«Несмотря на сильный рост HTTPS у первого миллиона сайтов, роста доли сертификатов EV не наблюдается».

В числах: в феврале 366 005 сайтов перенаправляли запросы HTTP на HTTPS и 19 802 из них использовали сертификаты EV, это 5,41% сайтов HTTPS. В августе 489 293 перенаправляли на HTTPS, а 25 158 из них имели сертификаты EV, что составляет 5.14%. Другими словами, доля рынка EV снизилась примерно на 5%.

(Примечание: 489 293 действительно составляет 52% из миллионной выборки, потому что на 47 тыс. сайтов сканирование не удалось и они исключены из статистики).

Выясняется, что многие сайты на самом деле отказываются от сертификатов EV. Месяц назад Скотт привёл подробный список крупных сайтов, которые раньше использовали EV: среди них Shutterstock, Target, UPS и британская полиция. Примерно в то же время я заметил, что даже Twitter отказался от EV.

История с Twitter немного странная, потому что на самом деле вы могли видеть или нет сертификат EV у них на сайте, в зависимости от вашего местоположения. Это тоже кое-что говорит об эффективности EV: если они готовы убирать или добавлять его, то вряд ли люди ведут себя по-разному и меньше доверяют сайту без EV. Но это основа, на которой построена механика EV!

Дезинформационные кампании ведут не только Comodo и CertCentre, но и многие другие, например:

Помимо выбора исторических браузеров (насколько старое это изображение?!), в статье по ссылке делается следующее утверждение:

«Эксперты по веб-безопасности рекомендуют использовать сертификат EV SSL для таких платформ, как электронная коммерция, банки, социальные медиа, здравоохранение, правительственные и страховые платформы».

Не уверен, на кого они ссылаются в первых словах, но я знаю, что кроме банков, это заявление просто не выдерживает критики для остальных отраслей. Легко продемонстрировать, насколько оно принципиально неправильно.

Вот крупнейшие в мире сайты электронной коммерции. Нажмите на каждый и проверьте, есть ли у них EV:

  1. Amazon
  2. Netflix
  3. eBay

Вы можете сказать, что Alexa неправильно классифицировала Netflix как сайт электронной коммерции, ну тогда посмотрите следующий по популярности walmart.com — и получите тот же результат. Нигде нет EV.

Двигаемся дальше. С социальными медиа такая же ситуация:

  1. Facebook
  2. Twitter
  3. LinkedIn

Как обсуждалось ранее, у Twitter небольшой кризис идентичности с точки зрения того, поддерживает ли он EV, поэтому для верности проверьте четвёртый по величине сайт: это Pinterest.

На самых популярных в мире сайтах здравоохранения то же самое:

  1. Национальный институт здравоохранения
  2. WebMD
  3. Клиника Майо

Нет EV. Вообще. Ни единственного.

Я не смог найти чёткий список крупнейших государственных веб-сайтов, поэтому вытащил данные из ночного краулинга Alexa Top 1M от Скотта и выбрал крупнейшие сайты в зоне .gov. Национальный институт здравоохранения самый крупный, но мы уже рассмотрели его, поэтому возьмём следующие три:

  1. Агентство Индии по уникальной идентификации (у которого другие фундаментальные проблемы с поддержкой HTTPS)
  2. Налоговая инспекция Индии
  3. GOV.UK

К настоящему времени вы уже поняли, что шанс встретить EV хоть где-нибудь минимален. Вы правы — ни одного попадания.

Наконец, топ страховых сайтов:

  1. United Services Automobile Association
  2. Kaiser Permanente
  3. Geico

Мы нашли один! У USAA действительно сертификат EV! У двух остальных нет, но это хоть что-то, верно?

Если «эксперты по веб-безопасности» рекомендуют EV для этих классов сайтов, то, очевидно, что эти сайты их не слушают. Так что подобные рекомендации носят поэтический характер.

Ещё один набор необоснованных утверждений о SSL в том, что EV «увеличивает конверсию транзакций», «снижает уход от корзины покупок» и «защищает от фишинговых атак». Можно понять, почему они делают такие утверждения: причина видна в виде кнопок сразу снизу под текстом:

Итак, мы снова вернулись к явной предвзятости. Но эй, они просто пытаются вести бизнес, так что я понимаю мотивы. Можно ещё предположить, что начав такой бизнес они сами хотели бы увеличить конверсию, не так ли? Ну, это забавно:

Даже сам продавец EV достаточно умён, чтобы не тратить на это деньги! Кроме того, напомним, сама «зелёная адресная строка» теперь полностью исчезла благодаря самому популярному в мире браузеру, который убил её в версии 69.

Остался аргумент с фишингом. Часто заявляется, что EV каким-то образом уменьшает его. Именно такое утверждается на слайде с презентации Entrust с начала этого года:

Здесь целая куча подтасовок, и для анализа лучше всего почитайте этот тред от Райана Слеви. Он проанализировал исследование, на котором основан слайд.

Райан — очень умный криптограф, работающий над Chromium, и у него отличная способность чётко выводить на чистую воду любую чушь. В конце концов он резюмирует ситуацию: «В общем, это плохая статья. Но что ещё хуже, они пытаются выдать её за исследование „на данных”. При этом используют ошибочную методологию и избирательный подход, чтобы поддержать бизнес-модель, которая опирается на пользователей, несущих всю ответственность за обнаружение изменений пользовательского интерфейса».

То есть мы возвращаемся к тому, что EV будет эффективен только если люди меняют поведение из-за изменения UI. В реальности люди не знают, на что обращать внимание, а само это изменение вообще постепенно прекращает своё существование. Либо изменение слишком малозначительное, чтобы люди обращали на него внимание. Помните первый скриншот в статье, где браузер Safari больше не отображает зарегистрированное название компании в сертификате EV? Сравните его со скриншотом моего блога, тоже открытого в Safari на iOS 12:

Видите разницу? URL-адрес сайта EV и замок рядом с ним теперь зелёные, в то время как сайт DV в чёрном цвете. Поэтому теперь, чтобы создать соответствующее ожидание у пользователей, нужно им говорить искать зелёные URL и замочек… если только они не пользуются Chrome, который вообще удалил все зелёные элементы! Очевидно, насколько нелепо объяснять пользователям такие нюансы в браузере, особенно учитывая скорость их изменения.

Возвращаясь к сайту About SSL, есть вот такое видео, где ораторша объясняет достоинства EV на тех же тезисах, которые мы рассмотрели. Видео около 6 минут, если у вас хватит терпения досмотреть:

Можем перейти сразу к интересному, например, когда ведущая (и менеджер по маркетингу продуктов Comodo) говорит о критичности EV для финансовой транзакции:

«В самый критичный момент, когда решают, совершать ли транзакцию, этот поразительный визуальный индикатор (зелёная строчка EV) с информацией, подтверждающей название компании, местоположение и сертификационный орган, даёт необходимую уверенность для принятия решения».

Тезис подкрепляется скриншотом сайта Excalibur Cutlery & Gifts:

Вероятно, вы уже чувствуете, что будет… и вы правы:

Нет EV. Вообще никакого коммерческого DV, а вполне нормальный бесплатный сертификат Let’s Encrypt. Видео словно из архаичной эпохи: в нём сайты открываются в IE8 на Windows XP… ничего не могу поделать, но возникает чувство, что ситуация несколько… устарела. Оказалось, так и есть:

Я бы не стал оценивать видео почти десятилетней давности с сегодняшних позиций, но там высказываются те же тезисы, что и сегодня. Ну и конечно, на статью с этим видео ссылается твит, опубликованный всего месяц назад под видом «Важного руководства о расширенном сертификате проверки SSL», так что всё честно.

Comodo уже не первый раз использует для продвижения EV сайты, на которых нет EV. Совсем недавно кто-то показал мне письмо от Comodo с напоминанием о продлении домена:

Естественно, он заинтересовался сайтом Mostlydead.com и захотел посмотреть, как прошло «увеличение продаж на 20%» (по словам Кена Криза). Ну вы понимаете, потому что EV «увеличивает доверие потребителей». Похоже, больше никак:

Чем больше вы вникаете в тему, тем больше убеждаетесь, что EV… практически мёртв. Ведь это не просто случайный сайт, который перешёл от EV к DV. Это сайт, специально выбранный для демонстрации ценности EV! Он должен быть примером ценности EV, а Comodo рекламирует его по сей день. Однако мы видим, что Кен Криз явно изменил своё мнение об эффективности EV (а может и никогда не имел такого мнения).

Ситуация с EV начинает походить на такую:

Но мы ещё не закончили: хочу упомянуть ещё один сайт, который раньше имел сертификат EV, а теперь вернулся на DV. Это сайт:


Примечание переводчика: сайт HIBP с базой украденных аккаунтов запустил сам Трой Хант

Я изменил сертификат позавчера, и до сих пор никто даже не упомянул об этом. Никто. Ни одна душа, а моя аудитория гораздо лучше разбирается в таких вещах, чем ваш средний пользователь. Естественно, не было недостатка в людях, которые могли заметить перемену за этот период:

Почти два года назад я написал о своём путешествии в мир EV-сертификатов. Как и во многих моих статьях, тут я учился на ходу; мне хотелось самому пройти процесс сертификации EV (раньше это всегда делали другие), и я хотел посмотреть, действительно ли это имеет какое-то значение. В то время я честно не разбирался и закончил статью так:

«Все эти штуки с сертификатами EV трудно измерить с точки зрения ценности. Понятия не имею, насколько больше людей проверят свой адрес электронной почты в сервисе, насколько больше освещения в СМИ или пожертвований он получит. Вообще без понятия».

Два года спустя я вполне убеждён в выводе: никакой ценности нет. Но это не значит, что есть недостаток в наличии такого сертификата, просто нет никаких преимуществ. По мере приближения даты продления (14 декабря), я позвонил и попросил заранее отозвать его, чтобы вернуться на бесплатный, выпущенный Cloudflare. Нет абсолютно никакой причины платить за продление (я сразу заплатил 472 доллара за двухлетний сертификат), а также не было причин ждать окончания срока действия, кроме отвращения к потерям, а у него столько же смысла, как у сертификатов EV.

Я часто размышлял, какой смысл оплачивать сертификаты EV или DV в эпоху свободно доступных сертификатов. Я посещаю много компаний по всему миру, обсуждая HTTPS, и когда пытаюсь прощупать этот вопрос, то регулярно слышу фразу «Ещё никого не уволили за покупку IBM». Я искал хорошую ссылку, чтобы объяснить смысл этой фразы — и нашёл отличную в определении FUD из Википедии:

«Распространяя сомнительную информацию о недостатках менее известных продуктов, устоявшаяся компания может препятствовать лицам, принимающим решения, выбирать эти продукты вместо своих собственных, независимо от относительных технических достоинств. Это признанное явление, воплощённое традиционной аксиомой агентов по закупкам, что „никого ещё не уволили за покупку оборудования IBM”. Цель состоит в том, чтобы IT-отделы покупали технически худшее программное обеспечение, потому что высшее руководство с большей вероятностью узнает бренд».

Другими словами, люди принимают неосведомлённые решения о том, что они считают «безопасным» из-за маркетингового FUD. Я подозреваю, что аналогичный менталитет у компаний, размещающих сторонние «пломбы безопасности» на своих сайтах. У них недостаточно знания и понимания, что те на самом деле могут увеличить риски, но блин, они так рекламировались!

Так что да — на HIBP больше нет EV, и никто не будет по нём скучать, что полностью соответствует опыту других, отказавшихся от сертификатов расширенной валидации:

«В этом месяце мы отказались от EV, улучшили скорость рукопожатия TLS, и ни один не сказал, что чего-то не хватает».

«На платёжном портале мы заменили сертификат EV на @letsencrypt:
— автоматическое продление (без длительного и сложного ручного процесса, снижение риска истечения срока)
— цена
— людей не волнует тип сертификата
— чаще обновление — быстрее восстановление от возможной компрометации»

«Мы поняли, что люди доверяют симпатичному зелёному значку больше, чем нашему незнакомому названию компании. Экономия — это бонус».

«Я не согласен с тем, что дело в цене. Target и другим гигантам плевать на $1000 за сертификат. Думаю, дело в осведомлённости. Я знаю, что 18 месяцев назад сертификат EV казался хорошей идеей для моего сайта .org. Но буду ли я его продлевать? Нет! Потому что я осознал их бессмысленность».

«Не могу сказать, что стало главным фактором: 1. Необходимость в wildcard для повышения гибкости. 2. Затраты больше не оправданы, особенно с учётом нескольких поддоменов. 3. Отсутствие осведомлённости пользователей означает, что вряд ли кто-то заметил изменения».

Статья вышла длинной, потому что каждый раз, когда я садился писать, появлялись всё новые доказательства абсолютной бессмысленности EV. Я начал заметки задолго до некоторых из перечисленных событий, в том числе до выхода Chrome 69 и удаления зелёной адресной строки, которая убила один из главных козырей маркетинга EV. Нельзя сказать, что EV — единственная технология, которая постепенно умерла от тысячи порезов. Когда-то такие сертификаты были хорошим товаром, но сейчас совершенно иная ситуация — и это просто бессмысленная реликвия ушедшей эпохи. Производители браузеров знают об этом и действуют соответственно. Лишь вопрос времени, когда в гроб EV забьют последний гвоздь:


Chrome Canary v70 пытается удалить имена компаний EV-SSL, интересно, попадет ли это в финальный релиз?

Когда Chrome наконец удалит визуальный индикатор EV из браузера (так же, как они уже сделали на мобильных устройствах, и как Apple сделала в линейке Safari), это будет хорошо и действительно положит конец EV. Возможно, тогда FUD, наконец, закончится.

Дам вам одно последнее маленькое доказательство абсолютной бесполезности EV: это моя лекция в Лондоне в начале этого года. Вот момент, когда я начинаю говорить о EV, и именно взаимодействие с аудиторией тут показательно. Посмотрите, как реагирует зал, полный умных технарей, когда я спрашиваю, какие визуальные индикаторы они ожидают увидеть на популярных сайтах. Наслаждайтесь!

You might also like More from author