Tri druhy certifikátov:
V súčasnosti existujú tri typy certifikátov pre šifrovanie v HTTPS: DV, OV a EV. Všetky majú zhodnú platnosť maximálne 825 dní a principiálne fungujú úplne rovnako: zväzujú doménové mená s verejnými kľúčmi ich prevádzkovateľa. Podľa tejto elektronicky podpísané informácie potom prehliadač pozná, že komunikuje s oprávneným držiteľom domény.

Už viac ako rok tiež platí, že novo vystavené certifikáty musia byť zverejnené v logu Certificate Transparency, aby boli prehliadači uznávané za dôveryhodné. V prípade EV certifikátov toto pravidlo však platilo ešte skôr, pretože tieto certifikáty mali historicky výlučnejšiu postavenie. V adresnom riadku u nich prehliadač zobrazuje názov subjektu (firmy) zapísané v certifikáte v pozícii žiadateľa.

V prípade DV (Domain Validated) totiž stačí, aby žiadateľ preukázal držanie domény. Zvyčajne sa to robí prijatím mailu na špeciálnu adresu, vystavením informácie v doméne alebo manipuláciou s obsahom webu. Keďže je možné ľahko celú operáciu automatizovať, je tento typ certifikátu najbežnejšie a najlacnejšie. Autorita Let ‚Encrypt je napríklad vystavuje zadarmo.

Proti tomu u OV (Organization Validation) a EV (Extended Validation) prebieha podrobné overovania žiadateľa. Zisťujú sa detaily ohľadom existencie daného subjektu v štátom prevádzkovaných databázach, hľadajú sa prípadné nezrovnalosti v rôznych registroch a overuje sa napríklad skutočná existencia danej firmy. Tento proces si vyžaduje ľudskú silu na strane autority, takže je spoplatnený. Nemôžu ho tiež vykonávať všetky certifikačnej autority. Pre prevádzkovateľa webu má ale jednu výhodu: v adresnom riadku zobrazí názov subjektu.

V praxi teda má byť EV certifikát väčšia zárukou dôveryhodnosti daného subjektu, pretože pri jeho vystavovaní nestačilo len preukázať možnosť vložiť niečo do webu či domény, ale mala by prebehnúť dôkladná autorizácie.

Čo hovorí o webe EV?


Certifikačnej autority sa zvyčajne veľa snaží svojim zákazníkom predať EV certifikáty, pretože sú v cenníku najvyššie. DV certifikáty sa dnes dávajú zadarmo, OV neprináša nič zásadné, ale EV má podľa komerčných autorít výhodu vo väčšej dôveryhodnosti takto označených webov. Ak je toto tvrdenie pravdivé, potom by malo naopak platiť, že weby bez EV certifikátu sú menej dôveryhodné.

Známy bezpečnostné odborník Troy Hunt jasne demonštruje, že takéto tvrdenie neplatí. Desiatka svetovo najnavštevovanejších webov EV certifikát nepoužíva:

Problém je v tom, že užívatelia ani netušia, že by mali v adresnom riadku názov firmy očakávať a čo by to pre nich malo znamenať. Navyše ani obvyklý poučený užívateľ v hlave nenosí informáciu o tom, na ktorom webe má byť EV certifikát a kde nie. Schválne si skúste bez hľadania vybaviť tri weby, kde by mal EV certifikát určite byť.

V skutočnosti teda používatelia túto informáciu vôbec nevnímajú. Bol som svedkom úspešného penetračného testu jednej firemnej virtualizačnej platformy, kde útočník odklonil prevádzku z originálneho webu na svoj phishingový VPS vnútri rovnakej platformy. Samozrejme na svojom podvodnom webe zaistil DV certifikát od Let ‚Encrypt, aby všetko vyzeralo normálne. Jediný rozdiel bol v tom, že pôvodný web mal EV certifikát od inej autority. Žiadny používateľ ale túto drobnú zmenu nezaznamenal.

Navyše už skôr bolo preukázané, že aj pomocou EV je možné robiť phishing. Stačí si kúpiť v inej krajine firmu s rovnakým názvom alebo svoju spoločnosť pomenovať treba IDENTITY Verified.

Používatelia sa nesprávajú inak


Pochybnosti o užitočnosti EV certifikátu sú tu leta a súčasným zmenám predchádzali dlhodobé prieskumy medzi užívateľmi. Vykonával je ako Google, tak i Mozilla. Vyplýva z nich, že sa užívatelia nesprávajú inak, ak na webe je alebo nie je EV certifikát. Jednoducho tento rozdiel vôbec nevnímajú.

Je potrebné si uvedomiť, že s prehliadačom a webom dnes pracujú bežní užívatelia, ktorí technológiám ukrytým v pozadí nerozumie. Očakávajú však, že sa veci budú správať konzistentne a pokiaľ možno bezpečne. Ak im do toho vstupuje nekonzistentné informácie, ktoré nerozumie, dáva im to len falošný pocit bezpečia.

Troy Hunt tak hovorí, že EV certifikáty sú raz a navždy mŕtve a pri živote je udržuje len marketing niektorých certifikačných autorít, ktoré sa je ešte snaží svojim zákazníkom vnútiť ako zázračný liek na bezpečnosť.

V skutočnosti sa ale bežný užívateľ nechá ľahko napáliť bez ohľadu na zelený text v adresnom riadku navyše. Užívateľovi stačí, že je na stránke napísané, že je bezpečná. Ak k tomu ešte pridáte obrázok kaštieľa a informáciu o tom, že pravosť osobne overil minister vnútra, užívateľ bude spokojný.

Mobily už EV neukazujú


S ďalším klinčekom do pomyselnej rakvy EV certifikátov prišli mobilné telefóny, pomocou ktorých sa dnes po webe pohybuje viac ako polovica užívateľov. Kvôli obmedzenému priestoru na displeji sa tvorcovia rozhranie prehliadačov už dávno rozhodli informáciu o názve firmy neukazovať. Jednoducho ju nemajú kam napchať a jediným riešením (ktoré skôr používalo Safari na iOS) je výmena za URL, čo sa zase mnohým užívateľom nepáčilo.

Weby tak postupne EV certifikáty opúšťajú, pretože im neprinášajú žiadnu podstatnú výhodu. Naopak je obmedzujú napríklad tým, že neumožňujú automatické obnovovanie a nedovoľujú v adrese používať hviezdičku a pokryť tým všetky subdomény. Ak v takejto situácii navyše polovica užívateľov informáciu o EV nevidí, nie je dôvod za certifikát platiť a komplikovať si s ním život.

Pred časom začal svoj EV certifikát opúšťať napríklad Twitter, ktorý to ale navyše robil postupne. Takže v závislosti na vašej lokalite či na používaných uzloch CDN ste dostávali EV či OV certifikát. To len opäť dokazuje, že sa nemôžete spoľahnúť na to, že daný web bude mať konkrétny typ certifikátu.

Desktopové prehliadača už čoskoro
Definitívnu bodku môžeme čakať počas nasledujúcich týždňov, kedy sa zobrazovaním názvu subjektu v adresnom riadku prestanú aj desktopové prehliadača. Už pred rokom s tým prestalo Safari od Apple (v iOS 12 a MacOS 10.14), čoskoro sa pridá aj Chrome a nasledovať bude Firefox.

Konkrétne Chrome so zmenou príde už v budúcej verzii 77, ktorá by podľa plánu mala vyjsť 10. septembra. Firefox potom plánuje úpravu na verziu 70, plánovanú na 22. októbra. Počnúc týmito verziami teda užívateľom zmizne z obrazovky informácie, o ktorej pravdepodobne nikdy predtým nevedeli.

Tým bude uzatvorená éra drahých EV certifikátov, ktoré sa tak nebudú líšiť od OV či DV. Už teda nebude mať zmysel za nich priplácať a pripravovať sa napríklad o automatizované obnovovaní či prípadne možnosť pokryť certifikátom subdomény. Ak vám stále EV prináša nejaké výhody, potom vedzte, že informácie zostane pre používateľov dostupná po rozkliknutí detailov o certifikátu na danej stránke.