向來不待見EV SSL擴充套件驗證證書的谷歌目前已經採取新措施,谷歌瀏覽器測試版裡已不再顯示擴充套件驗證資訊。考慮到谷歌瀏覽器的市場佔有率非常高,不再顯示EV SSL擴充套件驗證資訊後對於證書頒發機構來說估計是災難。
術語解釋:擴充套件驗證證書
EV SSL即擴充套件驗證證書,按要求證書頒發機構簽發此類證書時需要嚴格審查申請者的資質才可以簽發此證書。通常也只有企業或者其他型別的機構可以申請EV SSL證書,個人或者其他未註冊的非法人機構是無法申請的。
EV SSL的主要特點:目前所有主流瀏覽器在載入使用此類別證書的網站時,位址列都會顯示經過驗證的機構名稱(申請者名稱)。
谷歌瀏覽器測試版已不再顯示機構名稱:
如上圖:谷歌瀏覽器測試版裡預設情況下已經不再顯示機構名稱,即此項特性並非是實驗性功能而是預設的。點選證書詳情檢視依然可以看到機構名稱,但是對於多數使用者來說知道網頁是加密的即可沒人會去點選檢視。通過對比除谷歌以外其實Microsoft Edge也是不顯示機構名稱的,並且自剛開發的時候微軟就是這麼幹的。
不被待見EV SSL證書:
EV SSL目前存在著較多爭議,包括證書申請費用比較高小型企業可能無法承擔、應對釣魚網站並不是很有效。在CA 證書頒發機構論壇裡很早就有反對EV SSL擴充套件驗證證書的聲音,谷歌同樣是比較不待見EV SSL證書的。
EV SSL證書的申請費用通常在幾千到數萬元不等,比起DV 型證書的幾分鐘申請只需要幾百塊錢要貴出很多。部分反對者稱EV SSL證書讓瀏覽器給予網站更多傾斜即顯示機構名稱,無力承擔費用的小企業就被區別對待。
應對釣魚網站是EV SSL證書最初的目的,能夠讓使用者比較明顯的從位址列看到當前訪問的網站是否是真網站。維基百科引用的內容稱 2006 年有調查發現未經瀏覽器安全功能訓練的使用者並不會注意到擴充套件驗證證書提示。
EV SSL是CA機構的搖錢樹之一:
對於 CA 機構來說EV SSL的費用遠比DV SSL型證書高,所以申請EV SSL證書的機構越多CA機構的收入也要更多些。例如此前的賽門鐵克虛假證書事件中,谷歌就把暫停信任賽門鐵克簽發的EV SSL證書作為懲罰性措施之一,可見EV SSL證書對於CA來說是個非常重要的收入構成。
所以現在谷歌瀏覽器直接不顯示擴充套件驗證資訊,久而久之估計主動申請EV SSL證書的企業和機構也越來越少。對於CA機構來說這自然不是個好事,只不過暫時谷歌還未釋出任何公告,所以不清楚後續是否還會繼續變動。
來源:藍點網
看雪閱讀推薦:
1、[翻譯] 利用DNS重繫結攻擊專用網路
2、[翻譯]利用機器學習檢測惡意PowerShell
3、[原創]看雪.京東 2018CTF 第十五題 智慧裝置 Writeup
4、[原創]淺談編碼與記憶體----自我總結與經驗分享
5、[翻譯]radare2高階