為什麽我們需要表明身份:EV證書的價值
盡管備受爭議,擴展驗證證書仍擁有巨大的價值......
上周,一位以“我已經被攻破了嗎?”工具聞名的安全專家、教育家Troy Hunt,寫了一篇很長的專欄文章,論述擴展驗證(EV)證書的價值。
在這篇文章中,他對EV證書的價值以及用戶是否註意到EV證書提出了疑問。他得出結論:
“底線是,迄今為止,EV證書的有效性完全依賴於人們是否認可它們以及實際上是否相應地改變自己的行為。這是很難爭辯的···”
誠然,EV證書的確依賴於用戶對它們是否關註以及是否使用那些信息。但這就意味著EV證書沒有價值嗎?
在深入探討這個問題前,讓我們來看一看各種驗證的區別:
域驗證(DV)和擴展驗證(EV)是SSL證書的兩個主要類別。DV正如其名,只能確定你的瀏覽器地址欄中顯示的域是該證書的所有者。這是使用一種自動化的技術手段實現的——如為上述域創建一個單獨的DNS記錄。
EV證書也同樣這麽做,但除此之外,它們還會確認網站是由一個合法建立的公司運營的。這是由證書頒發機構的工作人員在政府機構的官方數據庫和其他可靠數據源的幫助下完成的。公司的名稱(以及公司是在哪個國家註冊的)會在終端用戶的瀏覽器中顯示:
正如Troy所說,DV證書會告訴你“該連接是安全的”,而EV證書會告訴你“該連接是安全的,並且你知道你正在和誰對話”。
在互聯網上,知道你正在和誰對話是非常有價值的。花費在外面吃一頓正餐的錢,你就可以創建一個網站並宣稱代表任何人(或任何事物),而不需要提供太多個人信息。
考慮到互聯網上虛假網站和釣魚網站的絕對數量,我認為我們所有人都會對以下觀點表示同意:了解更多關於網站運營者的信息是有益的。
你的計算機並不真正了解它所訪問的網站的任何事情。它將會愉快地為你展示你所訪問的任何主機名或IP地址的內容。
對你的瀏覽器來說,Paypal.com和FakePaypal.com只是兩個不同的地址而已。對於人來說,顯而易見的是,這兩個網站中有一個不是真正的Paypal網站(盡管在真正的釣魚網站中,差別不會如此明顯)。你的計算機只看到另一個具有HTML、CSS、Javascript和其它可以為你顯示的文件的互聯網地址。
從技術視角來看,這正是你的瀏覽器需要做的事。盡管這往往不符合用戶的目的,因為這些用戶對連接到合法網站比對DNS和IP路由的技術奇跡感興趣得多。
當我們縱觀全局時,可以看到谷歌的Chrome瀏覽器的設計也符合這一觀點:
我們Chrome瀏覽器安全團隊建議,用戶代理(UA)逐步將他們的UX轉變為將非安全來源顯示為“肯定非安全”。為的是更清楚地向用戶顯示HTTP有多麽不安全。
T0(目前):非安全來源未被標註
T1:非安全來源被標註為可疑的
T2:非安全來源被標註為非安全的
T3:安全來源未被標註
目前,我們正處於該計劃的“T0”和“T1”兩個階段之間——今年晚些時候,Chrome瀏覽器會開始在更多的HTTP網頁上顯示“非安全”警告。
Chrome瀏覽器想要這樣做的原因之一在於一臺計算機要確定你的連接的安全性的難度到底有多大。
HTTPS只能保證你的數據被安全地發送到你連接的服務器。此後發生的事情就沒人知道了。
Cloudflare的靈活SSL在你和Cloudflare之間提供了一個安全連接,但並不是從Cloudflare到原始服務器,它就是一個瀏覽器不了解你的數據在互聯網上全部行程的例子。
Chrome瀏覽器可能並不喜歡把確認你的連接是否安全作為自己的責任。它只會在知道連接不安全時做出一些提示,因為這就是所有它能夠做到的。
相對比較簡單的是判斷網站是否合法或你是否需要向網站提供個人信息或信用卡信息。有希望的是,我們都知道那是因為一個網站使用HTTPS並不一定意味著你向它提供個人信息是個好主意。
這一決定所需要的信息比HTTPS所能提供的技術保證要多,所以這種判斷需要由用戶來做出。
但這並不是說就沒有其他機制來保護用戶。像谷歌安全瀏覽和微軟SmartScreen這樣的系統,對於保護用戶免受釣魚網站以及被報告受到惡意軟件感染的網站侵害來說,具有非常重要的價值。
然而,這些系統並不完美。它們有時候會花費超過一天的時間才能標識出一個網站,這意味著錯失了重要的時間窗口,在此期間很多用戶受到了侵害。這些系統也沒有被用來建立網站的身份,因此只能部分實現EV證書的目標。
Troy說,“EV證書是一種人為控制的證書”,這是一個問題。但評估一家網站在現實世界中的身份和合法性並不是我們的瀏覽器適合做的事情。畢竟,從技術觀點來看,你的瀏覽器只是想讓你登錄到FakePaypal.com,因為它的確是一個真實的網站。
EV證書的價值是顯而易見的。它的價值就在於,它有能力比你的瀏覽器了解網站的更多信息,而瀏覽器只能通過連接到主機名、解析證書文件以及核實加密密鑰來評估一個網站。
EV證書——以及所有與HTTPS相關的指標——可以變得讓用戶更容易理解,在這一點上Troy也是對的。這個例子就是明證——在Chrome瀏覽器半近期重新設計之前,用戶識別和理解掛鎖圖標是非常困難的。一些用戶將它誤認為是一個錢包。
但這並未消除對於網絡身份識別的需要或降低EV證書的價值。它只是意味著,我們需要更好的解釋——這是當涉及到安全和一般的互聯網用戶時的共同主題。
為什麽我們需要表明身份:EV證書的價值