Gde nestade „Green address bar“

Tokom poslednjih desetak godina browseri su podržavali prikaz dva nivoa sigurnosnih indikatora https strana: Standardni „Secure“  i prošireni „Green address bar“. Ovaj drugi prikaz u browserima je davao samo EV sertifikat – Extended validation SSL

EV sertifikati su skuplji i proces nabavke za njih je dugotrajniji. Zbog toga važe za prestižnu i sigurniju vrstu SSLova. Da bi se zakupio ovakav SSL treba proći kroz nekoliko nivoa validacije: domensku, validaciju organizacije i telefonsku proveru. Zbog toga su, na primer, ukoliko želite da na svom sajtu postavite online plaćanje, neke banke kao uslov postavljale da morate imati EV SSL na sajtu.

Međutim, prvo je prošlog septembra naziv vlasnika sertifikata uklonjen iz Safarija na iOS-u, a nedavno i iz Safarija na Mojave-u (macOS). Chrome ga u to vreme nije prikazivao na mobilnim klijentima, a  Google je od verzije 77 Chrome-a (koja je dostupna od 10. septembra) umesto sa leve strane URL bara premestio ove informacije na Page info, kojem se pristupa klikom na ikonu katanca. Skoro u isto vreme, Firefoks je objavio slično obaveštenje za verziju 70, koja je puštena 22. oktobra.

Koji su faktori doveli do ovoga?

Kao uzrok ovakvih odluka uglavnom se pominje povećana upotreba mobilnih uređaja, UI i UX koncept kreatora brauzera, ali i istraživanja koja su pokazala neke neočekivane činjenice u vezi sa konceptom EV sertifikata.

Naime, kao jedan od glavnih atributa ovih sertifikata navođeno je da „green bar“ povećava poverenje korisnika i šansu da izvrše transakciju na tom sajtu za čak 50 %. Inače, iako ni jedan od prvih 10 websajtova na svetu, kao što su Google, Facebook i Twitter ne koristi EV sertifikat, banke uglavnom imaju EV sertifikate.

Chrome Security UX tim i još neka akademska istraživanja doneli su zaključke da EV UI ne štiti korisnike kako je planirano. Izgleda da se korisnici ne odlučuju da odustanu od unosa lozinke ili podataka o kreditnoj kartici samo zato što ne vide ime firme koja je vlasnik SSL-a u URL baru browsera, nego samo katanac. Prikaz naziva firme omogućava korisniku da utvrdi ko stoji iza web stranice, ali da li to otežava krađu identiteta i obmane?

Pre oko godinu i po dana se pokazalo da je moguće nabaviti EV SSL za konfliktne zahteve tako što se kupac obrati drugoj teritorijalnoj jurisdikciji gde takav brend još uvek nije registrovan. Ovaj slučaj koji se desio u Americi još uvek nije razrešen. Međutim, izgleda da su kod nekih CA donete mere u cilju sprečavanja ovakvih situacija. Geotrust je nedavno počeo da traži od klijenata da rade reissue svojih sertifikata, sa objašnjenjem “Invalid Jurisdiction of Incorporation address information that doesn’t comply with industry standards set by the CA/Browser Forum for EV Certificate Guidelines”.

Piše se i o slučajevima kada sertifikaciono telo nije htelo da izda EV SSL usled rizika da se upravo ovako neki konflikt ne desi.

Pored ovoga, iako veoma mali broj, neki EV sertifikati su se pribavljeni underground kanalima kao što je dark web gde su kupljeni sertifikati velikih kompanija. Ovo su hakeri iskoristili sa phishing kako bi naveli posetioce da ostave svoje privatne podatke.

Šta sve ovo znači?

Praktično,  uskoro počinje istrebljenje EV sertifikata. Njihovi vlasnici neće više imati prestižan ugao browsera u kojem piše ime firme:

U Chrome-u green bar već dugo nije green bar već gray bar.

A sada će ostati samo katanče.

Nakon  22. oktobra, kada je poslednji browser koji podržava green bar izbacio novu verziju koja nema ovu mogućnost, u svim browser-ima katanci su sivi, a naručilac sertifikata je vidljiv tek kada se klikne na katanac. Ponuda EV sertifikata kod mnogih hosting kompanija i dalje pominje EV SSL-ove kao green address bar uprkos ovim izmenama. Razlog je verovatno to što je marketinški, slava SSL sertifikata ležala upravo u green bar-u i neprobojnosti sistema poručivanja. Suštinski, oni su isti kao svi ostali sertifikati što se enkripcije tiče, ali iza njih stoje značajno veći fondovi osiguranja u slučaju da budu „provaljeni“.  Po svemu sudeći, mnoge kompanije (Comodo – sada Sectigo, Geotrust sada pod Digicertom) pokušavaju da dodatno poboljšaju provere prilikom poručivanja, pošto su naša iskustva sa obnovom ovih sertifikata u poslednje vreme pokazala težu nabavku i tromije procedure. Ovo na žalost zamara i frustrira korisnike ovih sertifikata, pa traže alternative, što budućnost EV-a ne čini baš svetlom. Green bar je otišao, ostaje da vidimo šta će biti sa ostatkom vrednosti ovih sertifikata.