为何咱们须要代表身份:EV证书的价值
尽管备受争议,扩展验证证书仍拥有巨大的价值......数据库
上周,一位以“我已经被攻破了吗?”工具闻名的安全专家、教育家Troy Hunt,写了一篇很长的专栏文章,论述扩展验证(EV)证书的价值。浏览器
在这篇文章中,他对EV证书的价值以及用户是否注意到EV证书提出了疑问。他得出结论:安全
“底线是,迄今为止,EV证书的有效性彻底依赖于人们是否定可它们以及其实是否相应地改变本身的行为。这是很难争辩的···”服务器
诚然,EV证书的确依赖于用户对它们是否关注以及是否使用那些信息。但这就意味着EV证书没有价值吗?网络
在深刻探讨这个问题前,让咱们来看一看各类验证的区别:工具
-
域验证(DV)和扩展验证(EV)是SSL证书的两个主要类别。DV正如其名,只能肯定你的浏览器地址栏中显示的域是该证书的全部者。这是使用一种自动化的技术手段实现的——如为上述域建立一个单独的DNS记录。网站
-
EV证书也一样这么作,但除此以外,它们还会确认网站是由一个合法创建的公司运营的。这是由证书颁发机构的工做人员在政府机构的官方数据库和其余可靠数据源的帮助下完成的。公司的名称(以及公司是在哪一个国家注册的)会在终端用户的浏览器中显示:加密
正如Troy所说,DV证书会告诉你“该链接是安全的”,而EV证书会告诉你“该链接是安全的,而且你知道你正在和谁对话”。设计
在互联网上,知道你正在和谁对话是很是有价值的。花费在外面吃一顿正餐的钱,你就能够建立一个网站并宣称表明任何人(或任何事物),而不须要提供太多我的信息。3d
考虑到互联网上虚假网站和钓鱼网站的绝对数量,我认为咱们全部人都会对如下观点表示赞成:了解更多关于网站运营者的信息是有益的。
你的计算机并不真正了解它所访问的网站的任何事情。它将会愉快地为你展现你所访问的任何主机名或IP地址的内容。
对你的浏览器来讲,Paypal.com和FakePaypal.com只是两个不一样的地址而已。对于人来讲,显而易见的是,这两个网站中有一个不是真正的Paypal网站(尽管在真正的钓鱼网站中,差异不会如此明显)。你的计算机只看到另外一个具备HTML、CSS、Javascript和其它能够为你显示的文件的互联网地址。
从技术视角来看,这正是你的浏览器须要作的事。尽管这每每不符合用户的目的,由于这些用户对链接到合法网站比对DNS和IP路由的技术奇迹感兴趣得多。
当咱们纵观全局时,能够看到谷歌的Chrome浏览器的设计也符合这一观点:
咱们Chrome浏览器安全团队建议,用户代理(UA)逐步将他们的UX转变为将非安全来源显示为“确定非安全”。为的是更清楚地向用户显示HTTP有多么不安全。
T0(目前):非安全来源未被标注
T1:非安全来源被标注为可疑的
T2:非安全来源被标注为非安全的
T3:安全来源未被标注
目前,咱们正处于该计划的“T0”和“T1”两个阶段之间——今年晚些时候,Chrome浏览器会开始在更多的HTTP网页上显示“非安全”警告。
Chrome浏览器想要这样作的缘由之一在于一台计算机要肯定你的链接的安全性的难度到底有多大。
HTTPS只能保证你的数据被安全地发送到你链接的服务器。此后发生的事情就没人知道了。
Cloudflare的灵活SSL在你和Cloudflare之间提供了一个安全链接,但并非从Cloudflare到原始服务器,它就是一个浏览器不了解你的数据在互联网上所有行程的例子。
Chrome浏览器可能并不喜欢把确认你的链接是否安全做为本身的责任。它只会在知道链接不安全时作出一些提示,由于这就是全部它可以作到的。
相对比较简单的是判断网站是否合法或你是否须要向网站提供我的信息或信用卡信息。有但愿的是,咱们都知道那是由于一个网站使用HTTPS并不必定意味着你向它提供我的信息是个好主意。
这一决定所须要的信息比HTTPS所能提供的技术保证要多,因此这种判断须要由用户来作出。
但这并非说就没有其余机制来保护用户。像谷歌安全浏览和微软SmartScreen这样的系统,对于保护用户免受钓鱼网站以及被报告受到恶意软件感染的网站侵害来讲,具备很是重要的价值。
然而,这些系统并不完美。它们有时候会花费超过一天的时间才能标识出一个网站,这意味着错失了重要的时间窗口,在此期间不少用户受到了侵害。这些系统也没有被用来创建网站的身份,所以只能部分实现EV证书的目标。
Troy说,“EV证书是一种人为控制的证书”,这是一个问题。但评估一家网站在现实世界中的身份和合法性并非咱们的浏览器适合作的事情。毕竟,从技术观点来看,你的浏览器只是想让你登陆到FakePaypal.com,由于它的确是一个真实的网站。
EV证书的价值是显而易见的。它的价值就在于,它有能力比你的浏览器了解网站的更多信息,而浏览器只能经过链接到主机名、解析证书文件以及核实加密密钥来评估一个网站。
EV证书——以及全部与HTTPS相关的指标——能够变得让用户更容易理解,在这一点上Troy也是对的。这个例子就是明证——在Chrome浏览器半近期从新设计以前,用户识别和理解挂锁图标是很是困难的。一些用户将它误认为是一个钱包。
但这并未消除对于网络身份识别的须要或下降EV证书的价值。它只是意味着,咱们须要更好的解释——这是当涉及到安全和通常的互联网用户时的共同主题。
- 1. 开发者为何须要EV代码签名证书
- 2. 咱们为何须要SDN?
- 3. 为何咱们须要reselect
- 4. 为何咱们须要 Vuex
- 5. 为何咱们须要uCos
- 6. 咱们为何须要DTO?
- 7. 咱们为何须要SpringBoot
- 8. 咱们为何要读书?
- 9. 为何咱们须要 Laravel IoC 容器?
- 10. 为何咱们如此须要 Immutable Data
- 更多相关文章...
- • PHP 表单验证 - PHP教程
- • Thymeleaf迭代列表 - Thymeleaf 教程
- • IntelliJ IDEA代码格式化设置
- • IntelliJ IDEA安装代码格式化插件
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. python的安装和Hello,World编写
- 2. 重磅解读:K8s Cluster Autoscaler模块及对应华为云插件Deep Dive
- 3. 鸿蒙学习笔记2(永不断更)
- 4. static关键字 和构造代码块
- 5. JVM笔记
- 6. 无法启动 C/C++ 语言服务器。IntelliSense 功能将被禁用。错误: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回码状态含义
- 8. Java树形结构递归(以时间换空间)和非递归(以空间换时间)
- 9. 数据预处理---缺失值
- 10. 都要2021年了,现代C++有什么值得我们学习的?
- 1. 开发者为何须要EV代码签名证书
- 2. 咱们为何须要SDN?
- 3. 为何咱们须要reselect
- 4. 为何咱们须要 Vuex
- 5. 为何咱们须要uCos
- 6. 咱们为何须要DTO?
- 7. 咱们为何须要SpringBoot
- 8. 咱们为何要读书?
- 9. 为何咱们须要 Laravel IoC 容器?
- 10. 为何咱们如此须要 Immutable Data