重新审视高级SSL证书的价值

作者：Tony Perez | 2019年8月12日

当前正有一场积极运动试图重塑在线消费者对SSL证书的看法，特别关注浏览器和安全从业者关闭高级证书的行动。本文将阐明正在发生的情况，提供背景说明为何会发生这种情况；同时还将提出我个人对未来的看法和建议。

总之，高级证书——特别是EV证书——提供的价值比我们承认的要多，因为我们让错误的事情蒙蔽了讨论。

理解SSL生态系统

我建议阅读我的SSL入门指南，特别是HTTPS工作原理部分。

SSL证书是一个数字文件，将身份与公钥和加密私钥绑定。该文件用于在两个系统之间的通信交换过程中验证和认证证书的所有者（身份）。此SSL证书还允许您在网站上使用HTTPS/TLS协议。

利用HTTPS/TLS的网站使用SSL证书来实现两个目标：

向网站访问者验证网站的身份；
通过加密保护从Web浏览器传输到Web服务器的信息，确保传输中的数据不能被恶意行为者拦截（例如，中间人攻击）；

以下是一个很好的例子：

在此示例中，您看到此证书由GoDaddy证书颁发机构（CA）颁发给godaddy.com域。这些CA负责SSL证书的创建、颁发、撤销和管理。

SSL证书的创建方式

CA执行这些职责的方式由一个名为证书颁发机构/浏览器（CA/B）论坛的自愿组织定义。该论坛的输出被称为基线要求（BR），这些BR是CA必须遵守的规则，如果它们希望其证书被浏览器根存储识别。

进入浏览器根存储对CA至关重要。要理解浏览器根存储的重要性，只需回顾2017年9月，当Chrome不信任Symantec的根证书时。不被信任的影响是CA颁发的每个证书都会呈现如下页面：

因此，拥有公开信任的根是每个CA的生命线。这些根证书用于颁发证书，只要CA遵守BR定义的规则，根存储将在其根存储中“信任”CA的根证书。

SSL证书的类型

根据BR制定的规则，CA能够颁发多种不同的证书类型。

就本文而言，我将仅关注三种：

域名验证（DV）：验证申请人对域名的所有权或控制权。
组织验证（OV）：验证申请人作为公司或个人的身份以及域名。
扩展验证（EV）：验证控制网站的法律实体。这是最严格的验证过程。

需要澄清几点：

所有证书在保护传输中的信息方面功能相同，您不会获得更高或更低的加密程度，加密密码由Web服务器设置，最小值由BR定义；
一直以来向公众区分这些证书的是它们在浏览器上的处理方式；
DV/OV证书在浏览器上的处理方式相同，而EV一直是特殊选项；

SSL证书类型的处理方式

一直以来区分证书类型的是它们在浏览器用户界面（UI）上的处理方式。处理的原始前提是使Web用户（如您）能够快速区分那些在验证过程中经过额外审查的站点。

在这些示例中，我将重点关注Chrome，因为它是市场上最广泛采用的浏览器（截至2019年7月，市场份额为55%）。它们也是领导反对高级证书斗争的一方，我将重点介绍以下变化。

以下是DV/OV证书在2019年Chrome浏览器URL中的示例：

以下是EV证书在2019年Chrome浏览器URL中的示例：

以下是证书过去样子的示例：

当您查看上面的示例时，可以快速看出正在发生什么。EV证书的处理方式正在发生巨大变化。在早期版本中，很容易指出那些在验证过程中经过更严格审查的站点，理论上它应该给Web用户对站点合法性的更高信心。

以下是您可以在Chrome浏览器未来版本中预期的示例：

您上面看到的是Google正在进行的完全移除指示器的工作。您可以预期最终迭代可能看起来与上述提案非常不同。

原因可以在Google发布的研究论文《网络的身份危机：理解网站身份指示器的有效性》中找到。

整篇论文归结为：在浏览器EV和URL格式的14次迭代中，没有干预显著影响用户对登录页面安全性或身份的理解。作者：Christopher Thompson, Martin Shelton, Emily Stark, Maximilian Walker, Emily Schechter, Adrienne Porter Felt – Google

换句话说，UI指示器没有感知价值。因为没有价值，Google将继续移除它们（以将它们深埋到二级面板中的形式）。您可以预期下一次分析将显示用户不点击二级面板，因此它们的价值进一步减少。

讨论使解决方案困难

以下是我个人对为什么高级证书无效的一些观察、争议点和双方立场：

即使在安全专业人士中，也很少有人真正理解证书类型之间的区别；
我们从未真正很好地意识到这些指示器意味着什么；
CA/B论坛由许多律师组成，这创建了一种非常CYA-like的方法来开发BR——换句话说，我们避免任何可能暗示责任的事情。这种框架使得困难，我们回避“保证”和“信任”等事物，并创建了一个极端解释的环境；
围绕这些SSL证书建立了巨大的商业实体，因此来自CA的任何观点立即被驳回，因为它被认为是不公正的且纯粹受商业利益束缚；
存在真正的挑战，如系统中的冲突，其中两个实体可能以相同名称存在，在不同的司法管辖区建立。从技术上讲，如果它是合法实体，这并不是真正的问题；
我们不准确地试图将高级证书的价值放在安全性等方面（例如，高级证书减少网络钓鱼）。这种叙述使对话偏离和分散注意力；
存在问题的看法，即您可以有一个验证的实体与域名不同（例如，由特许经营拥有的域名）。从技术上讲，如果我们完善高级证书的价值及其提供的保证的含义，这并不是问题；
作为一个社区，存在一种“我们”对“他们”的心态，其中浏览器是好的，CA是坏的。这导致双方之间 contentious, toxic的关系，这对网络几乎没有帮助；
每当没有有效答案时，我们依赖安全性，从不区分实践和理论安全性；
我们声称考虑更大的网络，但对我们在向网络消费者（包括微型企业、大型组织和被动消费者）引入的挑战几乎没有同情心；
社交平台的出现在世界各地为专家和影响者等提供了平台，它们放大和混淆对话，以 goodness, fairness and security 为利益，同时添加情感和不合理的坦率，使得无法合作以获得更好的结果——然而，这如今影响几乎每个行业；
验证过程需要人类，人类是易错的，它阻止我们自动化并以可扩展的方式使其对大众可用；
传统上，CA被认为固守其方式，包括我自己的组织，无法跟上网络的演变——我们可能是我们自己最大的敌人；

未被认可的价值

双方都进行了研究。在浏览器方面，Google的一项研究（《网络的身份危机：理解网站身份指示器的有效性》）显示Web用户不认可UI指示器的价值。在CA方面，您有乔治亚理工学院的一项研究（由Sectigo资助）（《理解扩展验证证书在互联网滥用中的作用》），试图显示验证域用于恶意目的的倾向较低。无论您是否同意所利用的方法或它们提供的结果，我相信未被认可的价值在两者之间。

我相信Google是对的，在UI指示器的当前化身中，绝对现实地认为Web用户不理解它们的含义。我也相信，在某种程度上，乔治亚理工学院的研究（虽然有点限制）说明了验证组织用于恶意目的的倾向较低的真相。

我相信我们错过了一些非常有趣的机会，通过已经到位的结构帮助弥合在线信任差距：

为像EV这样的证书进行的验证，无论我们喜欢与否，无论BR声明什么，应该为Web用户提供一定程度的合法性保证。
虽然不完美，但浏览器和CA之间建立的公共Web信任生态系统可以成为对身份保证和网络信任这一大问题产生 dramatic impact 的事物的构建块。
拥有高级证书（特别是EV）的站点用于恶意目的的倾向较低的想法有一些有效性。与其说是成本，不如说是伪造所有所需文件和证明形式所需的努力水平（有时需要更新政府系统）。
验证实体是有价值的，无论它们是否在做恶意事情。验证过程有助于收集真实信息，如果需要，以后可以使用。
另一个轶事洞察来自“验证”实际上对域名持有者意味着什么。可以争论的是，一个正在进行验证其域名的组织足够关心其身份、安全性，以比普通人更多的控制来确保其站点的完整性。当您想到今天大多数网络钓鱼攻击如何发生时（即，良性站点被黑客攻击并被恶意使用），这一点尤其重要。

我不同意的是移除UI指示器是解决方案或EV阻止网络钓鱼攻击的陈述。

不理解指示器并不意味着指示器没有价值，而是我们应该更努力地提取价值。

讽刺的是，可能没有比Google自己的#httpseverywhere运动更好的意识和教育力量示例。在该运动中，Google利用其最大资产——SERP排名——强调了HTTPS/SSL指示器的重要性。该倡议致力于教育消费者寻找“锁”和“安全”指示器，这使我相信我们可以教育Web消费者。

我们生活在一个在线信任日益重要的世界中。因此，我们应该倾向于帮助提取该价值的解决方案。网络上有超过十亿个网站，而且还在增长。Web消费者每天都在 struggle 理解他们可以/应该与哪些网站互动。

作为一个社区，我们应该重新审视高级证书（特别是EV）的价值和目的，并强调“信任”和“保证”等事物。我们应该努力以我们可以帮助消费者轻松区分和识别的方式提取该价值。

免责声明

完全披露，我是GoDaddy安全产品组的总经理（GM）。该业务线包括GoDaddy的证书颁发机构（CA），这意味着我们销售SSL证书。该组合在存在域方面具有 considerable depth；功能如Web应用程序防火墙（WAF）、内容交付网络（CDN）、安全扫描、品牌监控、事件响应、高级DNS、网站备份和Sucuri品牌。

发布在安全类别，并标记为数据和信息安全、安全工具和技术、Web和信息安全