为什么我们需要表明身份:EV证书的价值

尽管备受争议,扩展验证证书仍拥有巨大的价值......

上周,一位以“我已经被攻破了吗?”工具闻名的安全专家、教育家Troy Hunt,写了一篇很长的专栏文章,论述扩展验证(EV)证书的价值

在这篇文章中,他对EV证书的价值以及用户是否注意到EV证书提出了疑问。他得出结论:

“底线是,迄今为止,EV证书的有效性完全依赖于人们是否认可它们以及实际上是否相应地改变自己的行为。这是很难争辩的···”

诚然,EV证书的确依赖于用户对它们是否关注以及是否使用那些信息。但这就意味着EV证书没有价值吗?

在深入探讨这个问题前,让我们来看一看各种验证的区别:

域验证(DV)和扩展验证(EV)是SSL证书的两个主要类别。DV正如其名,只能确定你的浏览器地址栏中显示的域是该证书的所有者。这是使用一种自动化的技术手段实现的——如为上述域创建一个单独的DNS记录。

EV证书也同样这么做,但除此之外,它们还会确认网站是由一个合法建立的公司运营的。这是由证书颁发机构的工作人员在政府机构的官方数据库和其他可靠数据源的帮助下完成的。公司的名称(以及公司是在哪个国家注册的)会在终端用户的浏览器中显示:

正如Troy所说,DV证书会告诉你“该连接是安全的”,而EV证书会告诉你“该连接是安全的,并且你知道你正在和谁对话”。

在互联网上,知道你正在和谁对话是非常有价值的。花费在外面吃一顿正餐的钱,你就可以创建一个网站并宣称代表任何人(或任何事物),而不需要提供太多个人信息。

考虑到互联网上虚假网站和钓鱼网站的绝对数量,我认为我们所有人都会对以下观点表示同意:了解更多关于网站运营者的信息是有益的。

你的计算机并不真正了解它所访问的网站的任何事情。它将会愉快地为你展示你所访问的任何主机名或IP地址的内容。

对你的浏览器来说,Paypal.com和FakePaypal.com只是两个不同的地址而已。对于人来说,显而易见的是,这两个网站中有一个不是真正的Paypal网站(尽管在真正的钓鱼网站中,差别不会如此明显)。你的计算机只看到另一个具有HTML、CSS、Javascript和其它可以为你显示的文件的互联网地址。

从技术视角来看,这正是你的浏览器需要做的事。尽管这往往不符合用户的目的,因为这些用户对连接到合法网站比对DNS和IP路由的技术奇迹感兴趣得多。

当我们纵观全局时,可以看到谷歌的Chrome浏览器的设计也符合这一观点:

我们Chrome浏览器安全团队建议,用户代理(UA)逐步将他们的UX转变为将非安全来源显示为“肯定非安全”。为的是更清楚地向用户显示HTTP有多么不安全。

T0(目前):非安全来源未被标注

T1:非安全来源被标注为可疑的

T2:非安全来源被标注为非安全的

T3:安全来源未被标注

目前,我们正处于该计划的“T0”和“T1”两个阶段之间——今年晚些时候,Chrome浏览器会开始在更多的HTTP网页上显示“非安全”警告

Chrome浏览器想要这样做的原因之一在于一台计算机要确定你的连接的安全性的难度到底有多大。

HTTPS只能保证你的数据被安全地发送到你连接的服务器。此后发生的事情就没人知道了。

Cloudflare的灵活SSL在你和Cloudflare之间提供了一个安全连接,但并不是从Cloudflare到原始服务器,它就是一个浏览器不了解你的数据在互联网上全部行程的例子。

Chrome浏览器可能并不喜欢把确认你的连接是否安全作为自己的责任。它只会在知道连接不安全时做出一些提示,因为这就是所有它能够做到的。

相对比较简单的是判断网站是否合法或你是否需要向网站提供个人信息或信用卡信息。有希望的是,我们都知道那是因为一个网站使用HTTPS并不一定意味着你向它提供个人信息是个好主意。

这一决定所需要的信息比HTTPS所能提供的技术保证要多,所以这种判断需要由用户来做出。

但这并不是说就没有其他机制来保护用户。像谷歌安全浏览和微软SmartScreen这样的系统,对于保护用户免受钓鱼网站以及被报告受到恶意软件感染的网站侵害来说,具有非常重要的价值。

然而,这些系统并不完美。它们有时候会花费超过一天的时间才能标识出一个网站,这意味着错失了重要的时间窗口,在此期间很多用户受到了侵害。这些系统也没有被用来建立网站的身份,因此只能部分实现EV证书的目标。

Troy说,“EV证书是一种人为控制的证书”,这是一个问题。但评估一家网站在现实世界中的身份和合法性并不是我们的浏览器适合做的事情。毕竟,从技术观点来看,你的浏览器只是想让你登录到FakePaypal.com,因为它的确是一个真实的网站。

EV证书的价值是显而易见的。它的价值就在于,它有能力比你的浏览器了解网站的更多信息,而浏览器只能通过连接到主机名、解析证书文件以及核实加密密钥来评估一个网站。

EV证书——以及所有与HTTPS相关的指标——可以变得让用户更容易理解,在这一点上Troy也是对的。这个例子就是明证——在Chrome浏览器半近期重新设计之前,用户识别和理解挂锁图标是非常困难的。一些用户将它误认为是一个钱包。

但这并未消除对于网络身份识别的需要或降低EV证书的价值。它只是意味着,我们需要更好的解释——这是当涉及到安全和一般的互联网用户时的共同主题。

时间: 2024-11-10 18:01:40

为什么我们需要表明身份:EV证书的价值的相关文章

【SSL】OV、DV和EV证书的区别

关于https证书 https协议需要到ca申请证书,一般免费证书很少,需要交费. http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议. http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443. http的连接很简单,是无状态的:HTTPS协议是由SSL+HTTP协议构建的可进行加密传输.身份认证的网络协议,比http协议安全. 目前大部分网站都在忘https上转,Chrome也将https作为浏览器的默认连接,如果网站没

DV型、OV型、EV型证书的主要区别

DV型和OV型证书的区别 DV和OV型证书最大的差别是:DV型证书不包含企业名称信息:而OV型证书包含企业名称信息,以下是两者差别对比表:    DV OV  包含企业名称信息 否 是  验证公司名称合法性 否 是  通过第三方查询电话验证 否 是  域名验证方式  管理员邮箱批准 查询whois信息是否一致  验证时间 最快10分钟签发 一般2-3天完成签发  证书可信度  低  较高 DV和OV型证书在用户查看证书的详情是,OV型证书会在证书的Subject中显示域名+单位名称等信息:DV型

为什么EV SSL证书那么贵?

SSL数字证书从认证等级上可以分为DV.OV和EV,其中EV SSL证书是认证等级最高的类别,不仅有效保证网站数据安全,还会在浏览器地址栏出现组织名称,提升网站的信任度.作为认证等级最高的SSL证书,申请费用自然贵一点.有企业客户认为EV SSL证书最起码都是几千甚至上万元,但是就没有千元以内的吗? 答案是有的.小编这里推荐的就是全球知名安全服务商Comodo的一款EV SSL证书,通过安信SSL证书平台(www.anxinssl.com)申请仅需898元.下面就跟随小编一起来看看吧! 这款Co

EV ssl证书增强版与普通版本有什么不一样?

以下内容由SSL盾小编整理发布,更多证书知识[www.ssldun.com]扩展验证证书即EV SSL 证书,是目前SSL证书中审核最严格同时也是安全级别最高的SSL证书,因此比较适用于适用于银行金融类.电子商务网站(网上购物).EV扩展验证SSL证书中不包含通配符,也是说在EV SSL证书中没有泛域名型证书,所以子域名比较多的大型机构一般选择OV通配符SSL证书,或者主域名用EV SSL,子域名用OV SSL. **EV证书的签发标准是什么? 1:CA自动化验证申请机构的域名所有权 2:验证完

SSL证书

一.什么是SSL证书? 首先说明SSL(安全套接层,Secure Sockets Layer)是一种安全协议,目的是为互联网通信,提供安全及数据完整性保障.SSL证书遵循SSL协议,可安装在服务器上,实现数据传输加密. CA(数字证书认证,Certificate Authority)机构,是承担公钥合法性检验的第三方权威机构,负责指定政策.步骤来验证用户的身份,并对SSL证书进行签名,确保证书持有者的身份和公钥的所有权.CA机构为每个使用公开密钥的用户发放一个SSL证书,SSL证书的作用是证明证

iOS https认证 && SSL/TLS证书申请

1.下面列出截止2016年底市面上常见的免费CA证书: 腾讯云SSL证书管理(赛门铁克TrustAsia DV SSL证书)阿里云云盾证书服务(赛门铁克DV SSL证书)百度云SSL证书服务Let's Encrypt 国内BAT免费证书期限均为1年,每个证书对应一个独立的域名,可以申请多个证书,前提是需要注册账号.Let's Encrypt免费证书期限均为3个月,证书支持泛域名(支持多个域名). 另外,补充2个已经被Firefox, Chrome等浏览器明确表示弃用的CA厂商:StartSSL免

SSL证书选型与比较

SSL 是"Secure  Socket Layer(安全套接字层)"的缩写.这是一种在访问者的网络浏览器与您的网站之间建立安全会话链路的技术,通过此链路传输的通信均进行加密,从而确保其安全.SSL也经常用于传输安全电子邮件.安全文件和其他形式的信息. 不论是公司还是个人,在线安全保护措施与为个人或企业采取的物理安全措施一样重要.这不仅可以让您自己觉得更为安全,同时还能保护访问您的家庭.工作地点或网站的人员的安全.非常重要的一点是,您需要了解潜在的风险,然后确保针对这些风险采取了全面的

startssl,免费的ssl证书申请及注意事项

免费的ssl证书,https://www.startssl.com/ 安装到IIS和Nginx有所不同.原文 http://blog.newnaw.com/?p=1232 ------------转自 http://blog.newnaw.com/?p=1232 ----------------------- 重点部分标红 如果网站需要提供https加密访问方式,那么必须拥有一个有效的ssl证书来向客户端证明自己的身份.而ssl证书通常由第三方机构签发,有Domain Validation (D

获取https证书

获取证书 个人如果想购买SSL证书,相对来说还是比较简单的.对于小型网站,可以考虑通过StartSSL获取免费证书.另外还可以通过LetsEncrypt项目使用一个简单的命令行界面为服务获取免费证书.但对于大型公司来说,由于以前需要为客户购买大量证书,这家公司已经具备购买证书所需的协议和采购过程.这意味着整个过程可能需要很长时间,但最终只需要把证书交给安全团队就可以了.出于下列原因,这家公司打算使用使用带有扩展验证(EV)的证书: 象征着更进一步的信任 价格比普通证书贵不了多少 只有这种类型的证