image

Chrome en Firefox stoppen met weergeven EV-certificaten

dinsdag 13 augustus 2019, 08:18 door Redactie, 25 reacties

Google Chrome en Mozilla Firefox zullen binnenkort stoppen met het weergeven van Extended Validation (EV) certificaten in de adresbalk. Volgens Google biedt de visuele weergave van een EV-certificaat niet de beoogde bescherming en heeft ook Mozilla twijfels over de effectiviteit ervan.

Naast de bekende tls-certificaten die websites gebruiken voor het aanbieden van een beveiligde verbinding en identificatie zijn er ook EV-certificaten. Deze certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken. Bij EV-certificaten wordt de naam van de entiteit die het certificaat heeft aangevraagd in de adresbalk van de browser weergegeven.

Voordat het certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale tls-certificaten het geval is. EV-certificaten zijn dan ook duurder dan normale tls-certificaten en worden anders door de browser weergegeven. Onder andere banken maken er vaak gebruik van.

Met de lancering van Chrome 77 volgende maand zal de browser EV-certificaten niet meer in de adresbalk tonen. "Gebruikers lijken geen veilige keuzes te maken, zoals het invoeren van een wachtwoord of creditcardinformatie, wanneer de gebruikersinterface is veranderd of verwijderd, wat noodzakelijk voor de EV-gebruikersinterface zou zijn om zinvolle bescherming te bieden", zegt Devon O'Brien van Google. Daarnaast neemt de weergave van EV-certificaten veel ruimte in beslag, merkt O'Brien op.

Een ander punt van kritiek is de mogelijkheid om via verschillende juridische entiteiten gelijknamige EV-certificaten aan te vragen. "Vanwege deze problemen en de beperkte bruikbaarheid vinden we dat het beter past in de pagina-informatie", gaat O'Brien verder. In oktober volgt Mozilla met Firefox 70. Informatie over het EV-certificaat wordt aan het identificatiepanel van de browser toegevoegd. Eerder besloot Apple al om EV-certificaten niet meer volledig in Safari weer te geven.

Image

Reacties (25)
13-08-2019, 09:20 door Anoniem
Dit was eigenlijk 1 van de betere manieren om phishing tegen te gaan. Door de moeilijkheid om een EV certificaat aan te vragen dat een soortgelijke naam op een bestaand certificaat heeft kom je het zelfs nooit tegen. Wel heb ik een keer gezien dat ze het bedrijf bv "Groep NV" ipv "Groep Inc." hebben kunnen aanvragen. Maarja hoeveel keer zou je dat kunnen doen?
13-08-2019, 09:21 door Anoniem
Slechte ontwikkelingen.... zullen we ook maar het oranje licht afschaffen omdat mensen toch niet gaan stoppen? In plaats van het proces te verbeteren dat niet gelijknamige certificaten via andere juridische entiteiten aan kan vragen, gooien we het kind met het badwater weg!

Op zijn minst zouden de browser bouwers de balk (tekst) groen kunnen laten kleuren, en rood met untrusted certificaten en gewoon zwart bij normale certificaten.

Weet je security is lastig laten we het gewoon maar dumpen....
13-08-2019, 09:39 door Anoniem
Weet je security is lastig laten we het gewoon maar dumpen....
Zeker weten! Als het geen aantoonbaar effect heeft dan moet je er zeker niet mee door gaan. Hetzelfde verhaal met de do-not-track (DNT) header die door vrijwel geen enkele website wordt gebruikt. Waarom zou je dat dan in je browser blijven aanbieden? Men verwacht dat bezoekers reageren op het _afwezig_ zijn van een groene balk. Dat is per definitie al een slechte stellingname.
Het hele verhaal:
https://www.troyhunt.com/extended-validation-certificates-are-dead/
https://www.troyhunt.com/extended-validation-certificates-are-really-really-dead/
13-08-2019, 09:46 door Anoniem
De belangrijkste rationale, waar ik het zeker mee eens ben, is dat het voor gebruikers lastig is om te bepalen of er een EV certificaat aanwezig zou moeten zijn. Daarnaast moet een gebruiker ook zelf opmerken dat het EV certificaat AFwezig is, in plaats van een groot rood slotje dat aangeeft dat een verbinding niet veilig is bijvoorbeeld. Hoewel het dus lastig kan zijn om een EV certificaat aan te vragen, is dat niet alles wat er bij komt kijken om dit een effectieve tool te maken tegen neppe websites.

Het argument dat EV certificaten extra controles hebben (verplichte revocation check) is slechts het bestrijden van een veel voorkomend probleem in de WebPKI (revocation checks zijn niet makkelijk en Chrome doet dit zelfs helemaal niet meer). Voor niet-EV certificaten kan deze controle overigens ook afgedwongen worden door de Must-Staple extensie in het certificaat op te nemen (en de webserver de non-revocation proof mee te laten sturen, OCSP Stapling), al schijnen de implemenaties nog niet 100% betrouwbaar te zijn...
13-08-2019, 09:53 door Briolet
Door Anoniem: Weet je security is lastig laten we het gewoon maar dumpen....

Als er nu al drie browsermakers zijn die dit toepassen of gaan toepassen, dan lijkt me dat de consensus is dat dit wel de veiligheid verhoogd. De browser is er niet alleen voor experts, maar ook voor domme gebruikers. En dergelijke verbeteringen zijn er juist om domme gebruikers te beschermen tegen misleiding. De bewuste gebruikers klikken wel op slotjes of vergewissen zich op een andere manier dat de verbinding klopt.

Een url is eenduidig aan een firma gekoppeld omdat je die overal op de sites van de firma tegenkomt. Voor gebruikers is de url veel eenduidiger dan de juridische naam op het EV certificaat. Ik heb wel vaker EV namen in de browser gezien waarbij ik me afvroeg of ik wel met de goede firma verbonden was.
13-08-2019, 10:20 door Anoniem
Waarom toont men ook niet scamsites, die wegkruipen achter een Panamese anonieme registratie service?
Dat zou ook een heleboel onnodige clicks schelen voor Pim en Mien de doorsnee-bladeraar.
Nieuwe taak voor Google Safe Browsing?

J.O.
13-08-2019, 10:21 door Anoniem
Ik heb wel vaker EV namen in de browser gezien waarbij ik me afvroeg of ik wel met de goede firma verbonden was.
Het omgekeerde is nog veel schadelijker: het is al meerdere malen aangetoond dat men identieke bedrijfsnamen heeft kunnen registreren op verschillende URL's (i.v.m. andere jurisdictie). Het is dan zeer eenvoudig voor gebruikers om in een phishing site te trappen: https://stripe.ian.sh/
13-08-2019, 10:23 door Anoniem
Ze doen daar echt ALLES wat ze kunnen om dat hele https/certificaten systeem helemaal KAPOT te maken!!
Eerst al die idioterie dat iedereen verplicht moet encrypten en wie dat niet doet een soort tweederangs wordt,
dan het steeds meer wegmoffelen van de indicatie dat iets beveiligd is ("staat er wel https? nee staat er niet meer...)
en nu dan weer dit.
Uiteindelijk halen ze het hele slotje weg.

En iedereen die is uitgelegd "waar moet je op letten" die denkt nu "ik snap het niet meer, laat ook maar zitten".
13-08-2019, 11:10 door Anoniem
Dat is shit, maar als zegeen nieuwe regels konden bedenken om problemen met naam conflicten te voorkomen is het nutteloos.

Als er nu de regio bij staat voor de juridische entiteit had het geholpen.

Ik denk dat het in de VS met hun staten nutteloos is (waar is Bank of America geregistreed: Delaware of New York City ?), maar in bijvoorbeeld NL wel nuttig is: ABN-AMRO Hawaii vertrouw ik niet, maar ABN-AMRO Nederland wel.
13-08-2019, 11:21 door Anoniem
laat Firefox en Google nou eerst maar eens stopen met de rootsertificaten in hun browsers van QouVadis van darkmatter
vind ik veel belangrijker..........doei
13-08-2019, 11:22 door Anoniem
nuts!
13-08-2019, 12:54 door Anoniem
Door Anoniem: Ze doen daar echt ALLES wat ze kunnen om dat hele https/certificaten systeem helemaal KAPOT te maken!!
... .

EV certificaten bieden geen toegevoegde waarde, alleen voor de CA's... nl meer geld durven vragen voor een zelfde certificaat. Wie maakt wat kapot?
13-08-2019, 13:10 door Anoniem
Door Anoniem: ABN-AMRO Hawaii vertrouw ik niet, maar ABN-AMRO Nederland wel.

En ABN-AMRO Montenegro, vertrouw je die?
Zo niet, vertrouw je www.tikkie.me dan? (de website van ABN Tikkie)
13-08-2019, 13:25 door Bitwiper
Bizar slechte ontwikkeling dit. De mensen die het verschil tussen een EV certificaat en andere certificaten wel begrijpen zullen hier onnodig slachtoffer van worden.
13-08-2019, 13:38 door Anoniem
Door Bitwiper: Bizar slechte ontwikkeling dit. De mensen die het verschil tussen een EV certificaat en andere certificaten wel begrijpen zullen hier onnodig slachtoffer van worden.

Bottom line: Nee hoor, want die weten dat ze dus een keer extra op het slotje kunnen/moeten klikken om dit te checken.
Het gaat er nu juist om dat 99,9% (waar ik als security officer bij hoor) van de mensen het verschil misschien wel kennen, maar niet precies weten (en bijhouden) welke van de websites die ze bezoeken wel of niet EV zou moeten hebben.

Het is gewoon beter om gebruikers te triggeren op het afwezig zijn van goede security met rode lampjes dan ze te triggeren op het aanwezig zijn van security door groene lampjes. Als het ontbreken van deze groene lampjes mensen niet waarschuwt om hun gedrag aan te passen hebben de groene lampjes geen zin.
In de analogie van Anoniem@09:21:
Als iedereen bij een stoplicht waarvan de groene lamp kapot is, toch klakkeloos doorrijd, heeft deze groene lamp inderdaad geen enkele zin meer. Het is veel belangrijker dat de rode lamp het doet als mensen moeten stoppen...
13-08-2019, 13:48 door Anoniem
"Gebruikers lijken geen veilige keuzes te maken, zoals het invoeren van een wachtwoord of creditcardinformatie, wanneer de gebruikersinterface is veranderd of verwijderd"...

O?
Dus alle websites waar je een wachtwoord of creditcardinfo moet ingeven zouden een EV-certificaat moeten hebben?...
Dat is een risico-analyse die natuurlijk nergens op slaat. EV hoort men toe te passen voor de echt kritische websites.
Kritisch in de zin dat het een behoorlijke ramp voor mensen zou zijn als de gecommuniceerde gegevens in handen van criminelen terecht zouden komen.
Denk aan internetbankieren, certificaatverstrekkers, overheidswebsites als DigiD en dergelijke.

En als de browsermaker regelmatig dingen er steeds anders uit laat zien zullen gebruikers hiier misschien de eerste keer over vallen, maar daarna zal het ze een zorg zijn. Er verandert over de hele linie toch al aan de lopende band zoveel in de GUI dat de meeste gebruikers het allemaal niet kunnen bijbenen waarom.

Je zou er over kunnen vallen dat de procedure om een EV-certificaat aan te vragen enkele keren heeft gefaald en daarmee de extra bescherming een wassen neus zou zijn.
Maar volgens mij hoort men te leren van zijn fouten, zodat het in het vervolg niet meer voorkomt.
Daarbij zijn browsers in de loop der tijd al zo vaak veranderd dat het mensen niet meer opvalt en ze het spoor bijster zijn.
Net als je denkt te weten waar alles voor dient, wordt het door een browsermaker weer helemaal omgegooid.
Tja, vind je het gek dat mensen die in de huidige werled per definitie tijdgebrek hebben zich er op den duur niet zo druk meer over maken?

Zoals de browsermakers nu redeneren lijkt op:
"Onderzoek wijst uit dat mensen de snelheidsborden toch niet respecteren. Dus laten we ze maar weghalen".

He wat zegt u? Ligt het aan de rij-instructeur die er niet nadrukkelijk genoeg op heeft gewezen?
Neeeeeee, dat bestaat niet. Wij van Google en Firefox gaan geen schuld bekennen, ben je mal.
Ieder voor zichzelf verantwoordelijk. Dus weg met die snelheidsborden. Doei!
Lekker makkelijk en overzichtelijk, ja......Maar veiliger?...

Pressbrainsharder
13-08-2019, 13:59 door Anoniem
@Bitwiper,

Ik zie hier een algemene ongunstige ontwikkeling op gang gebracht.
Staat Google nog wel aan de goede kant met hun hoger kader vol linkse "woke"-gezinden?

Er worden nu al vragen gesteld over hun AI proliferatie naar China, o.a. door Thiel:
https://www.breitbart.com/tech/2019/08/12/peter-thiel-globalist-google-shares-ai-military-technology-with-china/

Ze gedragen zich dus meer en meer als onafhankelijke globale speler
en we weten niet meer wat ze uiteindelijk nastreven.

Je ziet het hier met certificering. Ik mis de zekerheid omtrent wat ik nog van hen kan vertrouwen
en info over hun uiteindelijke agenda met weglekken via "AI lab downstreaming technology",
zoals hier o.a. ook naar het Chinese militaire complex.

Gaat Trump's USA hen nu verder "onder de loupe nemen"? Ik hoop van wel.

Jodocus Oyevaer
13-08-2019, 15:42 door Briolet
Door Bitwiper: Bizar slechte ontwikkeling dit. De mensen die het verschil tussen een EV certificaat en andere certificaten wel begrijpen zullen hier onnodig slachtoffer van worden.

DIe groep zal het certificaat veel beter bekijken en het verschil blijven zien. Safari doet het al lang. Een grijs slotje is een gewoon certificaat en een groen slotje een EV certificaat. Als ik desondanks aan de url twijfel klik ik op het slotje en zie de info die vroeger in url-balk stond. (Maar nu uitgebreider)

Alleen krijg ik in bovenstaand screenshot de indruk dat Google geen aparte slotsymbolen of kleuren gaat gebruiken.
13-08-2019, 16:32 door Anoniem
Door Briolet:
Door Bitwiper: Bizar slechte ontwikkeling dit. De mensen die het verschil tussen een EV certificaat en andere certificaten wel begrijpen zullen hier onnodig slachtoffer van worden.

DIe groep zal het certificaat veel beter bekijken en het verschil blijven zien. Safari doet het al lang. Een grijs slotje is een gewoon certificaat en een groen slotje een EV certificaat. Als ik desondanks aan de url twijfel klik ik op het slotje en zie de info die vroeger in url-balk stond. (Maar nu uitgebreider)

Alleen krijg ik in bovenstaand screenshot de indruk dat Google geen aparte slotsymbolen of kleuren gaat gebruiken.
Al krijg je een groen slotje dan nog kan dit betekenen dat je te maken hebt met een andere website dan je denkt.
Dit was altijd in één oogopslag te zien. Maar in de nieuwe browserversies straks dus niet meer.
En het merendeel gaat vast niet het certificaat bekijken of ze wel echt contact hebben met de juiste website.
13-08-2019, 16:51 door Anoniem
Goede informatieve reacties allemaal onder dit artikel. Ik durf wel toe te geven dat ik in de naieve veronderstelling was dat EV certificaten moeilijker te krijgen waren, al helemaal voor phishers, maar blijkbaar niet. Ik heb er geen moeite mee als deze EV melding weg zou gaan, als er maar iets nieuws/beters voor in de plaats komt uiteindelijk voor internetbankieren etc.

"Voor niet-EV certificaten kan deze controle overigens ook afgedwongen worden door de Must-Staple extensie in het certificaat op te nemen (en de webserver de non-revocation proof mee te laten sturen, OCSP Stapling)."

Dat is alleen een verificatie van het certificaat zelf, maar met EV zou je in theorie ook een verificatie op de eigenaar van het (private) certificaat hebben. Hoe slecht dit ook in de praktijk misschien werkt.
13-08-2019, 17:24 door Bitwiper
Vandaag, 13:38, door Anoniem:
Door Bitwiper: Bizar slechte ontwikkeling dit. De mensen die het verschil tussen een EV certificaat en andere certificaten wel begrijpen zullen hier onnodig slachtoffer van worden.

Bottom line: Nee hoor, want die weten dat ze dus een keer extra op het slotje kunnen/moeten klikken om dit te checken.
Als ik met Firefox internetbankier, zie ik nu links de naam van mijn bank en daarachter de URL; ik wil helemaal niet 5 keer moeten klikken voordat ik in Firefox eindelijk het certificaat te zien krijg.

Vandaag, 16:51 door Anoniem: Ik durf wel toe te geven dat ik in de naieve veronderstelling was dat EV certificaten moeilijker te krijgen waren, al helemaal voor phishers, maar blijkbaar niet.
Die verondersteling is niet naief. Voor de naam van mijn bank kunnen phishers echt niet eenvoudig een EV certificaat verkrijgen.

Het is onderzoekers wel eens gelukt om een EV-certificaat voor een andere organisatie te verkrijgen, en er zullen ook wel eens EV certificaten onterecht aan criminelen zijn verstrekt, maar de aantallen fouten daarbij staan in geen enkele verhouding tot het aantal DV certificaten dat voor sites van scammers wordt uitgegegeven. EV-certificaten geven niet 100% garantie dat je met een site van de bedoelde organisatie te maken hebt, maar ze benaderen dat percentage wel.
13-08-2019, 18:08 door Anoniem
@Bitwiper,

Volgens mij heb jij zelf direct of indirect met certificering en encryptie te maken of te maken gehad.
Ik beschouw jou hier tenminste als een van de insiders met steeds goede en leerzame bijdragen.
Jij hebt bij mij persoonlijk het groene vlaggetje al lang dik en dik verdiend. Hulde, die hulde toekomt,

luntrus
13-08-2019, 22:54 door Anoniem
Door Anoniem:
Door Anoniem: ABN-AMRO Hawaii vertrouw ik niet, maar ABN-AMRO Nederland wel.

En ABN-AMRO Montenegro, vertrouw je die?
Zo niet, vertrouw je www.tikkie.me dan? (de website van ABN Tikkie)

Ieks, een phishing site. Certificaat uitgegeven door QuoVadis Limited, je weet wel, die van darkmatter, domain validated. Enige waar je op kan vertrouwen is dat de connectie encrypted is, niet dat de server getrust kan worden.
14-08-2019, 07:45 door Anoniem
Goede zaak dat die EV-onzin naar de achtergrond verdwijnt. De meeste mensen kijken hier toch niet naar. EV is niets meer dan een verdienmodel van trust providers. Een certificaat bij https helpt slechts bij het aantonen dat je met de juiste (in de URL-gespecificeerde) host verbonden bent. De rest is gebakken lucht.
14-08-2019, 12:58 door [Account Verwijderd] - Bijgewerkt: 14-08-2019, 13:01
Door Anoniem:
Door Bitwiper: Bizar slechte ontwikkeling dit. De mensen die het verschil tussen een EV certificaat en andere certificaten wel begrijpen zullen hier onnodig slachtoffer van worden.

Bottom line: Nee hoor, want die weten dat ze dus een keer extra op het slotje kunnen/moeten klikken om dit te checken.
Het gaat er nu juist om dat 99,9% (waar ik als security officer bij hoor) van de mensen het verschil misschien wel kennen, maar niet precies weten (en bijhouden) welke van de websites die ze bezoeken wel of niet EV zou moeten hebben.

Het is gewoon beter om gebruikers te triggeren op het afwezig zijn van goede security met rode lampjes dan ze te triggeren op het aanwezig zijn van security door groene lampjes. Als het ontbreken van deze groene lampjes mensen niet waarschuwt om hun gedrag aan te passen hebben de groene lampjes geen zin.
In de analogie van Anoniem@09:21:
Als iedereen bij een stoplicht waarvan de groene lamp kapot is, toch klakkeloos doorrijd, heeft deze groene lamp inderdaad geen enkele zin meer. Het is veel belangrijker dat de rode lamp het doet als mensen moeten stoppen...

Laat dat nu precies met opzet zo zijn geconfigureerd. Het komt niet meer zo vaak voor, temeer omdat gloeilampen in verkeerslichtenregelingen zijn uitgefaseerd, maar als het groen signaal is uitgevallen blijven het gele (oranje) en rode signaal wel actief, i.t.t. uitval van rood, dan wordt de signalering op alle signaalgevers in de volksmond "stoplichten" die betrekking hebben op het conflictpunt (kruising) geschakeld op intermitterend geel (oranje) dat bekend staat als waarschuwing voor gevaarlijke kruising.

Terug naar het onderwerp...

Er kan eindeloos over gediscussieerd worden en dat gebeurt ook continue, met als negatief gevolg dat bij meerderheidsinstemming om de zoveel tijd wel weer een andere vorm van certificaat, https of http signalering wordt geïntroduceerd. Dat wispelturige gedoe; dat gebrek aan continuïteit (Speeltje van programmeurs??) maakt het hopeloos onduidelijk voor de meeste mensen.
Daarom denk ik al jaren met als voorbeeld verkeerslichtenregeling:
In de urlbalk uiterst links het Info symbool als uitroepteken in oranje als de url alleen http is, waarbij aanwijzen met de muis een tekstballon weergeeft met een waarschuwing.
Bij alles https (EV of niet) een zwart info symbool met tekstballon: "Voor website informatie: klik hier" en als je dat doet, je in een zich openend venster meteen de mogelijkheid krijgt d.m.v. een knop het certificaat te zien en daaronder meer summiere info.


Maar ja dit voorstel zal het ook wel weer niet halen want de doorsnee gebruiker - zoals ik - is maar een dommertje, vergeleken met de programmeurs-elite van Chrome en Firefox.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.