物議を醸すが、Extended Validation証明書は、依然として大きな価値を持っている......
先週、「との1 、私はまだ破られてきた?」ツール的に著名なセキュリティ専門家、教育者トロイハントは、長い列を書いた、拡張検証(EV)証明書の値を議論。
この記事では、EV証明書及び利用者の彼値が問題にEV証明書を気づきました。彼は結論します:
「一番下の行は、はるかにすることで、EV証明書の有効性は、人々がそれらを認識するかどうかにし、それに応じて行動事実の変化にかかわら完全に依存している。主張するのは難しいです???」
確かに、EV証明書は、実際にユーザーがそれらについて懸念しているかどうかに依存し、その情報を使用するかどうか。しかし、平均EV証明書はそれだけの価値はないということですか?
前に、さらに、様々な検証の違いで見てみましょうこの質問を探ります:
ドメイン照合(DV)と拡張検証(EV)SSL証明書の2つの主なカテゴリ。DVその名の通り、ドメインは、ブラウザのアドレスバーには、証明書の所有者であることを確認することができます。上記の別のドメインのDNSレコードを作成するなど - これは、自動化された技術的手段を使用して行われます。
EV証明書は同じことを行うには、それに加えて、彼らはまた、サイトが合法的に会社の事業によって確立されていることを確認します。これは公式の政府機関や他の信頼性の高いデータソースの機関のデータベース内のスタッフの助けによって発行された証明書によって達成されます。会社名(と、同社はどの国で登録されている)は、エンドユーザーのブラウザに表示されます。
トロイが言ったように、EV証明書を教えてくれますしながら、DV証明書は、「接続が安全であること」を教えてくれます「接続が安全である、あなたはあなたが誰であるか知っているとの対話。」
インターネットでは、我々はあなたが誰であるか知っているとの対話は非常に貴重です。あまりにも多くの個人情報を提供せずに、あなたは誰(か何か)を表現するために、ウェブサイトや主張を作成することができ、外での食事を食べるためにお金を費やしています。
偽のインターネットサイトやフィッシングサイトの膨大な数を考えると、私たちのすべては、以下の点については同意だと思う:Webサイト運営者の詳細については有益です。
お使いのコンピュータには、実際にそれがサイトにアクセス何かを理解していません。それは喜んであなたがあなたのために訪問する任意のホスト名またはIPアドレスの内容を表示します。
お使いのブラウザで、Paypal.comとFakePaypal.comちょうど2つの異なるアドレスのみ。人々のために、(実際のフィッシングサイトでは、差はそれほど明白ではないが)2つのサイトが本物ではないペイパルのサイトを持っていることは明らかです。お使いのコンピュータにのみ、別のはあなたがファイルを表示することができ、HTML、CSS、Javascriptと他のインターネットアドレスを持って確認してください。
技術的な観点から、これはブラウザが実行する必要があります。これらのユーザーは、DNSやIPの技術の驚異が多くをルーティングするよりも、関心の合法的なサイトに接続されているので、これは、多くの場合、対象のユーザーと互換性がありませんが。
私たちは大きな画像が表示されたら、あなたは、GoogleのChromeブラウザは、この見解に沿って設計されて見ることができます。
私たちは、Google Chromeのセキュリティチームを推奨、非セキュア起源へのユーザーエージェント(UA)が徐々に彼らのUXは次のように表示され、「正の非セキュア。」より明確にどのように安全でないHTTPをユーザに示すために。
T0(現在):非セキュアソースはマークされていません
T1:非セキュアソースは疑わしいとラベル付けされています
T2:ラベルされた非セキュア非セキュアソース
T3:セキュリティソースがマークされていませんでした
現在、私たちは二相間計画「T0」と「T1」である-今年後半には、Chromeブラウザは、より多くのHTTP Webページ上の「非セキュリティ」の警告表示を開始します。
Chromeブラウザはこれをしたい理由の一つは、どのくらいの最後に、あなたの接続のセキュリティの難易度を決定するために、コンピュータにあります。
HTTPSあなたのデータは安全にあなたが接続するサーバに送信されていることのみを保証することができます。誰も知らない何が起こった後。
CloudFlareの柔軟なSSLを使うとCloudFlareの間の安全な接続を提供しますが、ないのCloudFlareから元のサーバーに、それはあなたがすべての旅行、インターネット上のデータの例を理解していないブラウザがあります。
Chromeブラウザは、あなたの接続が自らの責任として安全であることを確認して作るのが好きではないことがあります。それはそれを行うことができ、すべてのだからそれだけで、接続が確保されていないときを知っているいくつかのヒントを行います。
比較的単純なサイトが正当なものであるかどうかを判断するか、サイトに個人情報やクレジットカード情報を提供する必要があるかどうか。うまくいけば、我々はすべてのサイトがHTTPSを使用しているため、それは必ずしもあなたがそれに個人情報を提供することを意味するものではありませんが、良いアイデアであることを知っています。
この判断は、ユーザによって行われる必要があるので、それはより多くの技術よりも、HTTPSを提供することができます確保するために必要なこの決定情報。
これは、プロテクトのユーザーには他のメカニズムが存在しないということではありません。同様にGoogleのセーフブラウジングと、このようなシステムのMicrosoft SmartScreenのは、感染したサイトに対して報告されたフィッシングサイトや悪意のあるソフトウェアからの保護のユーザーに、それは非常に重要な価値を持っています。
しかし、これらのシステムは完璧ではありません。彼らは時々、より多くの手段が、多くのユーザーが危険にさらされている時間の重要な窓が欠落しているサイトを、識別するために、一日の時間をより費やします。これらのシステムは、ウェブサイトのアイデンティティを確立するために使用されていない、それは部分的にしかターゲットEV証明書を達成することができます。
トロイは問題である、「EV証明書は、人工的な制御されている」と述べました。しかし、現実の世界では、ウェブサイトの身元と正当性を評価するためには、私たちのブラウザが行うのに適しているではありません。それは確かに本物のウェブサイトであるため、すべての後に、技術的な観点から、あなただけの、あなたのブラウザはFakePaypal.comにログインします。
EV証明書の値が明らかです。お使いのブラウザよりも、サイト、およびブラウザについての詳細を学ぶための能力においてその値の嘘だけのウェブサイトを評価するための解析と検証証明書ファイル暗号化キー、ホスト名に接続することができます。
EV証明書 - だけでなく、すべての関連およびHTTPS指標は - それが簡単に、ユーザーが理解できるようにするためにすることができる、この時点では、トロイは正しいです。南京錠のアイコンを識別し、理解するためのChromeブラウザ、最近再設計されたユーザーは非常に困難である前に、半分 - この例では、証拠です。一部のユーザーは財布のためにそれを間違えます。
しかし、これはネットワーク識別のための必要性を排除するか、EV証明書の値を減少させませんでした。それはちょうど私たちはより良い説明が必要であることを意味します - それは安全性や一般のインターネット利用者共通のテーマになると、これはあります。
