Wersje: 77 Chrome i 70 Firefox przyniosą zmiany w wyświetlaniu certyfikatów SSL, w szczególności w wersji EV, czyli z rozszerzoną weryfikacją. Nazwa firmy, która dotychczas pojawiała się na pasku adresu, zostanie przeniesiona do informacji o stronie.

Czy decyzja Google i Mozilli okaże się problemem dla właścicieli banków, dużych sklepów internetowych i serwisów przetwarzających wrażliwe dane, które decydowały się na zabezpieczenie stron certyfikatem EV?

Zmiany w wyświetlaniu certyfikatu EV w przeglądarce Chrome
Zmiany w wyświetlaniu certyfikatu EV w przeglądarce Mozilla Firefox

Gdzie będzie widoczna nazwa firmy?

Wskaźnik EV zostanie przeniesiony z paska adresu do informacji o stronie. Otworzenie tej sekcji możliwe jest po kliknięciu w ikonę kłódki znajdującej się obok adresu witryny. Nazwa firmy pojawi się pod informacją o tym, że połączenie na stronie jest bezpieczne. 

Wyświetlanie informacji o stronie w przeglądarce Chrome
Wyświetlanie informacji o stronie w przeglądarce Firefox

Zmiany w przeglądarkach

Wyświetlanie nazwy w pasku adresu było możliwe dzięki przejściu wymagającej procedury, w której wystawca certyfikatu weryfikował prawa firmy do określonej domeny oraz jej fizyczne istnienie. Obecność nazwy firmy w stałym elemencie przeglądarki, jaką jest pasek adresu, pozwalała użytkownikowi w łatwy sposób zweryfikować, komu zostawia dane.

Twórcy przeglądarek stopniowo ograniczali wyświetlanie wskaźnika EV (czyli pola, w którym pojawia się nazwa firmy w pasku adresu). Początkowo zrezygnowano z niego w przeglądarkach na urządzeniach mobilnych. W ubiegłym roku nazwa firmy nie pojawiała się już w Safari. Wprowadzenie zmian przez Google i Mozillę planowane jest już niedługo: Chrome w wersji 77 ma zostać upubliczniony 10 września, natomiast Firefox 70 – 22 października. Jedyną popularną przeglądarką, która jeszcze nie wycofała się z wyświetlania tej informacji jest Edge, ale jest to prawdopodobnie kwestia czasu. 

Skąd taka decyzja?

Twórcy przeglądarek powołują się na 4 argumenty przemawiające za usunięciem nazwy firmy z paska adresu:

  • według przeprowadzonych przez Google badań, internauci wpisując wrażliwe dane nie zwracają uwagi na rodzaj certyfikatu, którym zabezpieczona jest strona, nie trzeba więc publikować takiej informacji,
  • wskaźnik EV zajmuje dużo przestrzeni na ekranie, a w przypadku długich nazw firm, zajmował on znaczną część paska adresu,
  • wyświetlanie nazwy mogło wprowadzać użytkowników w błąd, ponieważ certyfikat mógł zostać wydany na firmę, która ma identyczną nazwę i podszywa się pod znaną markę (usunięcie nazwy firmy ma być sygnałem dla internautów, żeby zwracali większą uwagę na adres strony),
  • informacja o bezpiecznych stronach ma być wyświetlana jako neutralna (skoro jest to standard w Internecie). Z tego powodu witryny zabezpieczone certyfikatem EV nie powinny być uprzywilejowane w zakresie prezentacji tej informacji.

Czy certyfikaty są nadal ważne?

Wszystkie kupione lub odnowione certyfikaty EV są ważne do czasu wygaśnięcia. Poza sposobem ich wyświetlania w przeglądarkach nic nie uległo zmianie. 

Różnice w wyświetlaniu certyfikatów EV, OV i DV

Zmiana miejsca umieszczenia nazwy firmy nie wpłynęła na fakt, że tę informację wciąż najłatwiej znaleźć w certyfikacie EV.  W przypadku tego zabezpieczenia nazwa podmiotu widoczna jest już po kliknięciu kłódki, czyli informacji o stronie. 

Nazwa firmy w certyfikacie EV

W certyfikacie OV (Organization validation) nazwę firmy można odnaleźć otwierając informacje o stronie (ikonka kłódki), a następnie klikając w “Certyfikat”. W metryce certyfikatu pokażą się najważniejsze dane, a w części “Szczegóły” – informacje o podmiocie.

Wyświetlanie nazwy firmy w certyfikacie OV

W certyfikatach o podstawowej weryfikacji (DV) firma nie jest weryfikowana przez podmiot certyfikujący, dlatego jej nazwa nie pojawia się ani w informacjach o stronie, ani w szczegółach certyfikatu.

W certyfikacie DV nazwa firmy nie występuje

Czy warto kupować certyfikaty EV?

Choć twórcy przeglądarek wycofali się z wyświetlania nazwy firmy w pasku adresu, certyfikaty EV dają wciąż największe zapewnienie bezpieczeństwa ze względu na zaawansowany sposób weryfikacji abonenta domeny. Jeśli zależy Ci na maksymalnym zabezpieczeniu danych klientów i wysokiej gwarancji ze strony wystawcy certyfikatu, nie powinieneś rezygnować z zabezpieczenia w wersji EV.

Powody, które przytoczyli twórcy przeglądarek odnośnie do usunięcia nazwy firmy z paska adresu, mogą częściowo posłużyć jako argumenty za kontynuacją ochrony certyfikatami EV:

  • skoro użytkownicy nie zwracają uwagi na sposób zabezpieczenia strony (a jedynie na fakt, czy jest zabezpieczona certyfikatem, czy nie), to usunięcie nazwy z paska adresu nie powinno spowodować zmniejszenia liczby klientów,
  • jeśli zwrócenie większej uwagi na adres strony zamiast na nazwę firmy rzeczywiście podniesienie bezpieczeństwo użytkowników i ograniczy podszywanie się hakerów pod firmy, to w rozrachunku przyniesie to też korzyść tym firmom,
  • unifikacja wyświetlania zabezpieczeń zapewni, że konkurenci również nie będą się wyróżniać w przeglądarkach. 

Kłódki pozostaną, ale już nie zielone. Zniknie też wyświetlanie protokołu

Aktualizacja wersji przeglądarek przyniesie również zmiany w sposobie wyświetlania kłódek, które są symbolem strony zabezpieczonej certyfikatem. Kolor zielony zostanie zastąpiony mało wyróżniającym się szarym. Będzie to posunięcie zgodne z intencjami Google i Mozilli, by pokazywać zabezpieczone witryny w neutralny sposób.

Z najnowszej wersji Chrome’a zostanie również usunięte wyświetlanie protokołu (http lub https). W pasku adresu przeglądarki pozostanie wyłącznie nazwa domeny (z poprzedzającym ją www lub bez). Obok adresów bezpiecznych stron, które korzystały z szyfrowanego protokołu TLS (https) znajdzie się kłódka, a w przypadku serwisów opartych o http – oznaczenie “Niezabezpieczona”.

Zabezpieczona strona
Strona niechroniona protokołem TLS

Pełny adres strony, razem z protokołem, można sprawdzić klikając na niego dwukrotnie w pasku adresu przeglądarki.

Czy kłódka gwarantuje wiarygodność stron WWW?

Kłódka w wierszu adresu przeglądarki, gwarantuje wiarygodność? Przy certyfikacie EV z bardzo dużym prawdopodobieństwem tak – ze względu na dość wysoką cenę wydania takiego certyfikatu i skrupulatną procedurę weryfikacji przed wydaniem. Jednak aby sprawdzić na jaką firmę lub organizację został on wydany, konieczne jest kliknięcie w ikonę kłódki.

Przestępcy coraz częściej wykorzystują certyfikaty SSL dla swoich celów. Dlatego bardzo ważne staje się, aby sprawdzać przy logowaniu nazwę domeny na stronie WWW do której się logujemy. “Kłódka” przestała być głównym kryterium weryfikacji wiarygodności. W szczególności dotyczy to serwisów finansowych oraz przetwarzających nasze dane osobowe. Należy pamiętać, że weryfikacji podlegają znaki znajdujące się po lewej stronie od domeny najwyższego poziomu (ang. TLD – Top-Level Domain np. domeny krajowe dwuliterowe: .pl, .tv, .de, .cz lub funkcjonalne .org, .biz, .info).

Osoba lub firma administrująca daną domeną, może dowolnie tworzyć dla niej subdomeny. Przykładowo dla domeny mserwis.pl jej administrator, może utworzyć dowolną liczbę subdomen np. www.mserwis.pl/blog, dns1.mserwis.pl, dns2.mserwis.pl, tech.merwis.pl itd.

Ta cecha domen jest często wykorzystywana przez przestępców, którzy podszywają się np. pod banki, systemy płatności tworząc subdomeny (w różnych zarejestrowanych przez siebie domenach) przypominające te należące do instytucji i firm, które są powszechnie uznawane za zaufane.

Certyfikaty SSL po zmianach wyświetlania w przeglądarkach – podsumowanie

Wprowadzenie wersji 77 przeglądarki Chrome i 70 Firefox zmieni sposób wyświetlania certyfikatów SSL. Największą różnicę zauważą właściciele firm, których strony były chronione certyfikatami EV (z rozszerzoną weryfikacją). Nazwa przedsiębiorstwa, która do tej pory pojawiała się w specjalnym polu w pasku adresu, zostanie przeniesiona do sekcji z informacjami o stronie. Nie będzie ona już tak widoczna, jednak użytkownik łatwo znajdzie dane właściciela serwisu po kliknięciu w ikonkę kłódki, znajdującą się obok adresu witryny.

Mimo planowanych zmian wyświetlania w przeglądarkach, certyfikaty EV to wciąż pełnowartościowe produkty, które dają najwyższą gwarancję zabezpieczania danych klientów. Wszystkie kupione i odnowione certyfikaty zachowują swoją ważność do czasu wygaśnięcia.

Zmianie ulegnie także sposób wyświetlania kłódek, świadczących o chronieniu strony certyfikatem SSL. Zielony kolor symbolu zostanie zastąpiony niewyróżniającym się szarym. Usunięcie nazwy firmy z paska adresu oraz zmiana barwy kłódki są kolejnymi posunięciami, które wprowadza Google i Mozilla, by wyświetlać bezpieczne strony w sposób możliwie neutralny.

Zapisz się na powiadomienia o nowych artykułach

i odbierz link do unikatowej oferty


* Wypełniając formularz wyrażam zgodę na przesłanie na mój adres e-mail powiadomień ze strony „www.mserwis.pl/blog”. Szczegóły związane z przetwarzaniem Twoich danych osobowych znajdziesz w naszej polityce prywatności: https://www.domeny.tv/polityka-prywatnosci

Polub nas na Facebooku

Facebook Pagelike Widget

Komentarze

2 odpowiedzi na “Zmiany w wyświetlaniu certyfikatów SSL w Chrome i Firefox”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *