Hlavní navigace

Konec EV certifikátů: prohlížeče je přestanou zvýrazňovat

Petr Krčmář

Prohlížeče přestanou během několika následujících týdnů zobrazovat informace o EV certifikátech. Ty se tak stanou na první pohled nerozeznatelnými od OV a DV certifikátů. Důvodů k této změně je několik.

Doba čtení: 5 minut

Sdílet

Tři druhy certifikátů

V současné době existují tři typy certifikátů pro šifrování v HTTPS: DV, OV a EV. Všechny mají shodnou platnost maximálně 825 dnů a principiálně fungují úplně stejně: svazují doménová jména s veřejnými klíči jejich provozovatele. Podle této elektronicky podepsané informace pak prohlížeč pozná, že komunikuje s oprávněným držitelem domény.

Už více než rok také platí, že nově vystavené certifikáty musí být zveřejněny v logu Certificate Transparency, aby byly prohlížeči uznávány za důvěryhodné. V případě EV certifikátů toto pravidlo ovšem platilo ještě dříve, protože tyto certifikáty měly historicky výlučnější postavení. V adresním řádku u nich prohlížeč zobrazuje název subjektu (firmy) zapsané v certifikátu v pozici žadatele.

V případě DV (Domain Validated) totiž stačí, aby žadatel prokázal držení domény. Obvykle se to provádí přijetím mailu na speciální adresu, vystavením informace v doméně nebo manipulací s obsahem webu. Jelikož je možné snadno celou operaci automatizovat, je tento typ certifikátu nejběžnější a nejlevnější. Autorita Let's Encrypt je například vystavuje zadarmo.

Proti tomu u OV (Organization Validation) a EV (Extended Validation) probíhá podrobné ověřování žadatele. Zjišťují se detaily ohledně existence daného subjektu ve státem provozovaných databázích, hledají se případné nesrovnalosti v různých rejstřících a ověřuje se třeba skutečná existence dané firmy. Tento proces vyžaduje lidskou sílu na straně autority, takže je zpoplatněn. Nemohou ho také provádět všechny certifikační autority. Pro provozovatele webu má ale jednu výhodu: v adresním řádku zobrazí název subjektu.


Různé zobrazení v adresním řádku: DV, EV, bez HTTPS, chybný certifikát, mixed-content

V praxi tedy má být EV certifikát větší zárukou důvěryhodnosti daného subjektu, protože při jeho vystavování nestačilo jen prokázat možnost vložit něco do webu či domény, ale měla by proběhnout důkladná autorizace.

Co říká o webu EV?

Certifikační autority se obvykle hodně snaží svým zákazníkům prodat EV certifikáty, protože jsou v ceníku nejvýše. DV certifikáty se dnes dávají zdarma, OV nepřináší nic zásadního, ale EV má podle komerčních autorit výhodu ve větší důvěryhodnosti takto označených webů. Pokud je toto tvrzení pravdivé, pak by mělo naopak platit, že weby bez EV certifikátu jsou méně důvěryhodné.

Známý bezpečnostní odborník Troy Hunt jasně demonstruje, že takové tvrzení neplatí. Desítka světově nejnavštěvovanějších webů EV certifikát nepoužívá:

Potíž je totiž v tom, že uživatelé ani netuší, že by měli v adresním řádku název firmy očekávat a co by to pro ně mělo znamenat. Navíc ani obvyklý poučený uživatel v hlavě nenosí informaci o tom, na kterém webu má být EV certifikát a kde ne. Schválně si zkuste bez hledání vybavit tři weby, kde by měl EV certifikát určitě být.

Ve skutečnosti tedy uživatelé tuhle informaci vůbec nevnímají. Byl jsem svědkem úspěšného penetračního testu jedné firemní virtualizační platformy, kde útočník odklonil provoz z originálního webu na svůj phishingový VPS uvnitř stejné platformy. Samozřejmě na svém podvodném webu zajistil DV certifikát od Let's Encrypt, aby vše vypadalo normálně. Jediný rozdíl byl v tom, že původní web měl EV certifikát od jiné autority. Žádný uživatel ale tuhle drobnou změnu nezaznamenal.

Navíc už dříve bylo prokázáno, že i pomocí EV je možné dělat phishing. Stačí si pořídit v jiné zemi firmu se stejným názvem nebo svou společnost pojmenovat třeba IDENTITY VERIFIED.


Všechno je v pořádku

Uživatelé se nechovají jinak

Pochybnosti o užitečnosti EV certifikátu jsou tu léta a současným změnám předcházely dlouhodobé průzkumy mezi uživateli. Prováděl je jak Google, tak i Mozilla. Vyplývá z nich, že se uživatelé nechovají jinak, pokud na webu je či není EV certifikát. Jednoduše tento rozdíl vůbec nevnímají.

Je potřeba si uvědomit, že s prohlížečem a webem dnes pracují běžní uživatelé, kteří technologiím ukrytým v pozadí nerozumí. Očekávají ale, že se věci budou chovat konzistentně a pokud možno bezpečně. Pokud jim do toho vstupuje nekonzistentní informace, které nerozumí, dává jim to jen falešný pocit bezpečí.

Troy Hunt tak říká, že EV certifikáty jsou jednou provždy mrtvé a při životě je udržuje jen marketing některých certifikačních autorit, které se je ještě snaží svým zákazníkům vnutit jako zázračný lék na bezpečnost.

Ve skutečnosti se ale běžný uživatel nechá snadno napálit bez ohledu na zelený text v adresním řádku navíc. Uživateli stačí, že je na stránce napsáno, že je bezpečná. Pokud k tomu ještě přidáte obrázek zámečku a informaci o tom, že pravost osobně ověřil ministr vnitra, uživatel bude spokojený.

Mobily už EV neukazují

S dalším hřebíčkem do pomyslné rakve EV certifikátů přišly mobilní telefony, pomocí kterých se dnes po webu pohybuje více než polovina uživatelů. Kvůli omezenému prostoru na displeji se tvůrci rozhraní prohlížečů už dávno rozhodli informaci o názvu firmy neukazovat. Jednoduše ji nemají kam nacpat a jediným řešením (které dřív používalo Safari na iOS) je výměna za URL, což se zase mnohým uživatelům nelíbilo.

Weby tak postupně EV certifikáty opouštějí, protože jim nepřinášejí žádnou podstatnou výhodu. Naopak je omezují například tím, že neumožňují automatické obnovování a nedovolují v adrese používat hvězdičku a pokrýt tím všechny subdomény. Pokud v takové situaci navíc polovina uživatelů informaci o EV nevidí, není důvod za certifikát platit a komplikovat si s ním život.

Před časem začal svůj EV certifikát opouštět například Twitter, který to ale navíc dělal postupně. Takže v závislosti na vaší lokalitě či na používaných uzlech CDN jste dostávali EV či OV certifikát. To jen opět dokazuje, že se nemůžete spolehnout na to, že daný web bude mít konkrétní typ certifikátu.

Desktopové prohlížeče již brzy

Definitivní tečku můžeme čekat během následujících týdnů, kdy se zobrazováním názvu subjektu v adresním řádku přestanou i desktopové prohlížeče. Už před rokem s tím přestalo Safari od Apple (v iOS 12 a macOS 10.14), brzy se přidá i Chrome a následovat bude Firefox.

Konkrétně Chrome se změnou přijde už v příští verzi 77, která by podle plánu měla vyjít 10. září. Firefox pak plánuje úpravu na verzi 70, plánovanou na 22. října. Počínaje těmito verzemi tedy uživatelům zmizí z obrazovky informace, o níž pravděpodobně nikdy dříve nevěděli.

Tím bude uzavřena éra drahých EV certifikátů, které se tak nebudou lišit od OV či DV. Už tedy nebude mít smysl za ně připlácet a připravovat se například o automatizované obnovování či případně možnost pokrýt certifikátem subdomény. Pokud vám stále EV přináší nějaké výhody, pak vězte, že informace zůstane pro uživatele dostupná po rozkliknutí detailů o certifikátu na dané stránce.