Os certificados SSL de Validação Estendida são eficazes?

Seis anos depois, e é hora de reescrever esse otário a partir da perspectiva de 2015 (e muito mais experiência pessoal no mundo das CAs comerciais).

Primeiramente, no que diz respeito aos certificados de EV que inspiram confiança, a resposta é (ainda) "não, não realmente". Estudos independentes de certificados EV simplesmente não mostram um impacto significativo entre os consumidores típicos. O livro de Peter Gutmann, Engenharia de Segurança , é basicamente um discurso de 800 páginas contra ACs em geral , e tem muitas referências à (in) eficácia dos certificados EV em influenciar o comportamento seguro do usuário em todo o texto, com a densidade mais alta na seção intitulada "Certificados EV: PKI-me-hard" começando na página 72.

Do outro lado do argumento, as partes que têm mais a ganhar com a comprovação da eficácia do certificado EV (as CAs que vendem os produtos) também não podem apresentar nenhuma evidência convincente. A "melhor" coleção de estudos de caso de EV que eu poderia desenterrar é divertidamente longa em asserções infundadas e lamentavelmente tipo de dados úteis.

Quanto a saber se os certificados EV realmente fazem alguma coisa útil para combater a fraude, voltarei a Peter Gutmann novamente:

The introduction [...] of so-called high-assurance or extended validation (EV) certificates [...] is simply a case of rounding up twice the usual number of suspects — presumably somebody’s going to be impressed by it, but the effect on phishing is minimal since it’s not fixing any problem that the phishers are exploiting.

Para colocar de outra forma, que você sabe, com certeza e com certeza, que o site com o qual você está se comunicando é "Bazar de Drogas da Honest Achmed e Fishmarket, Inc", de Tashkent, Uzbequistão, não diz nada sobre se Achmed vai fazer o beliche com detalhes do seu cartão de crédito e informações privadas. Um certificado EV também não diz nada útil sobre as práticas de segurança da organização: enquanto ashleymadison.com usa um certificado DV curinga, é (e era) totalmente capaz de obter um certificado EV e os pecadilhos privados de todos ainda seriam baixados se tivessem usado um certificado EV o tempo todo.

Finalmente, por que vale a pena, os certificados EV são emitidos após (algumas) mais validações além do que é feito para certs validados pelo domínio (DV) ou validados pela organização (OV). O que está sendo validado não é, na verdade, tão importante, mas você pode ter certeza de que alguém teve problemas razoáveis para fazer a organização chamada na barra verde parecer existir.

p>     

A maioria das respostas aqui tem os dois lados cobertos, mas eu percebi que eu gritava (mesmo assim, como eu trabalho para Thawte, eu também posso ser levado "com um grão de sal"). EV SSL funciona esplendidamente para resolver um problema muito sério - verificando a identidade dos sites e criptografando conexões entre eles, o que reduz significativamente o phishing - mas curiosamente a maioria das discussões é menos sobre se funciona ou não e mais sobre se deve ou não as pessoas vão notar. E, devido ao ceticismo em torno do reconhecimento da tecnologia pelos consumidores, alguns sites optaram por sair do EV - apesar do fato de que a maioria dos profissionais de TI está argumentando que a criptografia disseminada será a única maneira de manter uma Internet segura. O que o EV SSL faz, em primeiro lugar, é educar os consumidores para que eles possam discernir entre sites falsos e reais (a barra de URL verde, etc). Então, é uma armadilha 22. Os consumidores nunca aprenderão, a menos que peguem suas mãos em tecnologia como EV, e aprendam que coisas como cadeados e CAs não são tão inacessíveis para os leigos, mas, como eles não são educados o suficiente para dizer diferença no momento EV é evitado como uma armadilha de dinheiro. Isso é uma vergonha, porque estudos mostraram que o EV pode reduzir a quantidade de carrinhos de compras abandonados e outros obstáculos à conversão (não apenas no estudo da VeriSign, mas em outros estudos de terceiros independentes). E, claro, todo mundo precisa de algum tipo de criptografia.

Meu conselho: a maioria das empresas oferece um teste de 30 dias de VE ou algo assim. Experimente e talvez faça algumas pesquisas casuais com seus clientes para ver como eles reagem. Isso deve lhe dar uma noção melhor de se é ou não um bom investimento para você pessoalmente.

    

A idéia era que as Autoridades de Certificação gastariam o dinheiro que você pagou por um certificado para fazer com que você realmente fosse quem você disse que era, verificando registros oficiais e coisas divertidas como essa. Eles logo perceberam que poderiam ganhar mais dinheiro se não fizessem tantos cheques, e muitos apenas confirmam que você pode receber e-mails para o domínio para o qual está criando um certificado. Em seguida, um grupo de pessoas se reuniu e disse "bem, você não está realmente fazendo o trabalho que estava destinado a fazer" e as CAs voltaram e disseram "bem, por que não criamos certificados EV, o que faremos verificações mais rigorosas, como pretendíamos originalmente ", agora você tem certificados padrão e certificados EV, que tiveram verificações de identidade mais rigorosas. O navegador deixa claro que esses novos certificados são diferentes, presumivelmente para que as pessoas que compraram um certificado EV possam sentir que têm algo que vale a pena pelo seu dinheiro extra.

Mas no final, a maioria das pessoas não tem a menor idéia sobre segurança ou criptografia e, desde que eles vejam um cadeado, eles assumem que estão seguros. Sim, um certificado EV é melhor, mas a maioria das pessoas não sabe a diferença.

Para pessoas técnicas, acho que você pode considerar os certificados normais bons somente para criptografia e EV como criptografia com melhor autenticação.

    

Compramos um certificado EV. Eu nunca tive ninguém me diga que eles estavam contentes por termos tido isso. Eu estaria disposto a apostar que a maioria dos usuários da Internet iria inserir todas as suas informações em um site não seguro e nem sequer perceberia se era seguro ou não.

    

Bem, é difícil dizer. Provavelmente, a maioria dos usuários não entende realmente a diferença dos certificados regulares, embora a barra verde geralmente seja notada, e alguns podem ter a sensação de que ela é "mais segura".

Existe um estudo aqui: link sobre os efeitos de certificados EV em usuários da web. Parece ter um efeito perceptível nesse estudo, e. 59% dos usuários disseram que suspeitariam se um site que costumava ter uma barra de endereços verde parou de ter um.

No entanto, o estudo é encomendado pela Verisign, portanto, tome-o com um pouco de sal.

Eu diria que para a maioria das pessoas EV provavelmente não importa, mas para aqueles que o fazem, será um ponto a seu favor. Então, se o custo não for proibitivo para você, consiga um.

    

Eu não acho que alguém pensará em mencionar isso para você, mas nós costumávamos ter muitos clientes que nos pediam para criar listagens privadas no eBay para itens, porque eles se sentiam mais seguros fazendo negócios lá. Na realidade, estamos no mercado há mais de 15 anos, somos quase o maior fornecedor do mundo para o nosso produto e, no entanto, temos um mercado especializado e, portanto, não muito reconhecimento com novos clientes.

O objetivo de um EV é apenas para que os consumidores saibam que você não é apenas um site fly-by-night de Joe Conman, mas sim que você é um negócio de verdade, fazendo negócios regularmente, com localização e identidades conhecidas e registradas. Isso não é uma coisa pequena para muita gente.

Por fim, se o EV funcionar, será um pouco transparente, mas significará que mais pessoas terminam suas compras porque se sentem mais seguras (e com razão).