SSL-sertifikaadi installimine cPanelis | GoDaddy | 2018

Kas keegi on teadlik erapooletu allika andmetest või uuringutest, mis näitavad EV SSL-i sertifikaatide mõju klientide käitumisele? Mul pole õnnestunud selliseid uuringuid leida. Kui EV SSL-sertifikaat suurendab müüki veebipoe esiküljel isegi mõne punkti võrra, näen väärtust.

Lisaks EV SSL-ile suunatud andmetele võib olla võimalik aimata kliendi käitumist, tuginedes kasutaja suhtlemisele tavaliste SSL-sertifikaatidega. Kas kasutajad on üldse teadlikud SSL-i turvalisusest? Kas tavalisel SSL-il on tõestatud mõju veebipoe esikülgmüügile?

Pange tähele, et ma ei küsi hea krüptimise vajalikkuse kohta, vaid potentsiaalse kliendi kohta taju turvalisus ja usaldus.

  • Kas ma saan pakkuda anekdootlikke tõendeid?
  • @Farseeker Muidugi, miks mitte?

EV SSL on natuke pettus. Põhimõtteliselt on see ribalaiusega lahendus põhimõttelisemale probleemile - usalduse ahela lagunemine SSL-sertifikaatide väljaandmise regulatsiooni puudumise tõttu. EV SSL-sertifikaadid on põhimõtteliselt selleks, et teha seda, mida tavalised SSL-sertifikaadid tegid 10 aastat tagasi: kontrollida, kas veebisait on see, kes ta väidab end olevat. Sellepärast loodi juur-CA-delt usalduskett, et veenduda, et kõik saidid, millel on CA-i allkirjastatud SSL-sertifikaat, oleksid tasemel.

Põhjus, miks maksate CA-le aastamaksu tasuta enda allkirjastatud sertifikaadi loomise asemel, on see, et teil on vaja kedagi usaldusketis, kes teie identiteedi tagaks. Kui juur-CA-d usaldatakse ja nad annavad garantii teisele CA-le, kes omakorda tagab teise CA-le, kes garanteerib teise CA-le, kes seejärel somebank.com-le, siis tagab usalduse ahel, et kõik oleksid need, kes nad on, ja lõpptarbija teab, et somebank.com kuulub tõesti Some Bankile.

Kuid selleks, et CA-d töötaksid, peavad nad tegema oma kodutöö ja kasutama teatavat kaalutlusõigust selle eest, kelle eest nad annavad garantiid. Kui nad sertifitseerivad teise CA, peavad nad veenduma, et CA on usaldusväärne. Kui nad veebisaidi sertifitseerivad, peavad nad veenduma, et see pole andmepüügisait, mis esitleb teist ettevõtet. See on ainult põhjust maksta CA-le allkirjastatud sertifikaadi eest - kuna nad peaksid enne sertifikaadi väljaandmist veenduma, et iga sait kuulub kellelegi, kes väidab end olevat. Ja nende eesmärk on seda igal aastal kontrollida.

EV SSL-i loomine tunnistab põhimõtteliselt, et algne usalduse ahel on katki, et nüüd on usalduse ahelas CA-sid, kes jätavad oma kohustuse tähelepanuta. Nüüd loome usaldusväärsetele sertifikaatidele uue nime ja muudame selle uueks standardiks. See muudab põhimõtteliselt kõik tavalised allkirjastatud sertifikaadid väärtusetuks, kuna lõppkasutajad ei saa usaldada, et usaldusväärse CA allkirjastatud SSL-sertifikaat on tegelikult parem kui enda või tundmatu ettevõtte allkirjastatud sertifikaat.

Tõeline lahendus on usalduse ahela kinnitamine ja CA-de sundimine oma sertifikaadi saajaid reaalselt loomaarstiks tegema ja oma tööd tegema. Kui CA ei tee oma tööd, tuleb see usalduse ahelast eemaldada. Ja seda vastutust tuleks nõuda kogu ahelas, et juurutada CA-sid. Vastasel juhul jõuame kümne aasta pärast lihtsalt teise taseme sertifikaatideni, kui kaubanduslik konkurents vähendab ka EV-sertifikaatide hinda ja kvaliteeti.

  • 1 Mäletan, et ringid, millest pidime läbi hüppama, tõestasid, kes me olime, kui saime Thawtelt esimese turvasertifikaadi. Siis asjad muutusid. Tundub tegelikult, nagu oleksite Joe-Bobi mobiilipanka deposiidi teinud, viimased paar sertifikaati, mille olen ostnud. Küsimusi ei esitata, kinnitust pole vaja, notariaalselt tõestatud dokumente ega ärilitsentsi ei küsita. Võimalik, et võrgulahenduste EV SSL on natuke väärt, kuid seda ei kontrollita määral, mida Thawte seda tegi. EV SSL teistelt pakkujatelt? See on lihtsalt viis, kuidas aastas rohkem raha saada.
  • "Tõeline lahendus on kinnitada usalduse ahel ja sundida CA-sid oma sertifikaadi saajaid reaalselt loomaarstima ja oma tööd tegema" selleks on EV juhised! Tundub, et soovite parandada valideerimise standardeid, lükates samal ajal paremad valideerimisstandardid tagasi.
  • 1 @mikemaccana Ei, selleks peaksid olema muudetud baasnõuded. EV suunised loovad lisatasu sertifikaatide klassi, mis täidavad allkirjastatud originaalsertifikaate, mis ei lahenda baasnõuete aegunud jõustamise küsimust. Kuidas parandab EV-sertifikaatide kasutuselevõtt tavaliste CA-de allkirjastatud sertifikaatide halva auditeerimise? Kas on olemas stiimul EV-sertifikaatide ostmiseks, kui põhinõuded on täpsustatud ja nõuetekohaselt täidetud?
  • Kui teil on endiselt probleeme järgimisega, lugege palun Peter Gutmanni kommentaari PKI-Me-Harderi (p72) kohta: cs.auckland.ac.nz/~pgut001/pubs/book.pdf
  • 1 @ Lèsemajesté Nõustus, et domeeni valideerimine on kohutav, kuid CA-d (ise tehes) on end nurka joonistanud: inimesed loodavad saada SSL-sertifikaate koheselt odavalt / tasuta. Domeeni valideerimise eemaldamine või juriidiliste isikute nõuetekohase kinnitamise lisamine DV nõuetele tekitab veel ühe pahameele. Olen nõus, et DV on vale valideerimine ja süüdi on ainult CA-d, kes muudavad domeeni valideerimise SSL-sertide saamiseks tavaliseks viisiks, kuid kahjuks ootavad inimesed seda hetkel.

Ka mina pole suutnud leida sõltumatu uuringud, mis näitavad rohelise ribaga seotud usalduse suurenenud tajumist.

Digicert avaldas valge raamatu, mille pealkiri oli "Laiendatud valideerimise (EV) sertifikaatide mõju klientide usaldusele", väites, et 59% rohkem kasutajaid "ütlesid, et nad sisestavad kõige tõenäolisemalt oma andmed" saidile, kus kuvatakse EV SSL-i sertifikaat võrreldes tavalise üks. Aga kui lugeda, kuidas uuring tehti, on see naeruväärne:

Värskes uuringus õpetas Tech-Ed 384 inimesele, et EV SSL-sertifikaatidega ettevõtted oma veebisaidil läbivad rangema valideerimisprotsessi kui ettevõtted, kellel on standardsed SSL-sertifikaadid. Samuti õpetasid nad neile, et EV SSL-sertifikaatidega turvatud saidid saab tuvastada nende rohelise riba järgi. Pärast uuringu lõpetamist leidis Tech-Ed järgmise: [...]

Samuti pole mainitud, mis täpselt oli "Tech-Ed" veel 2007. aastal, kui väidetavalt uuringu läbi viis.

Verisign avaldas 2009. aastal valge raamatu, viidates vanemate demograafiliste gruppide kasutajate konversioonide suurenemisele 10%:

Jaapani tarbekaupade ettevõte Lion Corporation keskendub oma e-kaubanduse saidil eakatele inimestele, kes on Interneti-ostude tegemisel sageli uued ja kes on eriti mures isiklike andmete avaldamise pärast. Hirmude leevendamiseks võttis Lion kasutusele VeriSign® Extended Validation (EV) SSL-sertifikaadid, mis andsid rohelise riba nägevatele kasutajatele 10% rohkem konversioone. *

* Teie ettevõtte tulemused võivad erineda. VeriSign, Inc. ja tema tütarettevõtted ei anna siin kirjeldatud teenuste ega teabe osas mingisuguseid (otseseid, kaudseid ega seadusjärgseid) garantiisid.

Vikipeedias pole nimetatud teemal ühtegi uuringut mainitud.

Selles artiklis viidatakse mõnele uuringule, mis seda näitab märgid ja pitsatid (mitte EV-sertifikaadid) suurendavad konversioonimäära.

Turvaekspert prof Peter Gutmann teatas, et uus sertifikaatide klass taastab CA kasumi, mis oli võistluse tõttu vähenenud, mis toimus selle valdkonna emitentide seas:

Niinimetatud kõrge kindlusega või laiendatud valideerimise (EV) sertifikaatide kasutuselevõtt, mis võimaldab pädevatel asutustel nende eest tavapärasest rohkem küsida, on lihtsalt kahekordse kahtlusaluste arvu kaks korda suurem ümardamine - arvatavasti avaldab see kellelegi muljet. see, kuid mõju andmepüügile on minimaalne, kuna see ei lahenda ühtegi probleemi, mida andmepüüdjad kasutavad. Küünikud ütleksid, et just see oli probleem, mille sertifikaadid ja sertifitseerimisasutused pidid esmajärjekorras lahendama, ning et "kõrge kindlusega" sertifikaadid on vaid viis olemasoleva teenuse eest teist korda tasu võtta. Mõni aasta tagasi maksid sertifikaadid veel mitusada dollarit, kuid nüüd, kui sertifikaatide hindade ja kvaliteedi muutuv baasjoon on liikunud sinnamaani, et neid saab 9,95 dollari eest (või isegi üldse ilmaasjata), on suured kommertsettevõtted pidanud uuesti leiutama uue standardi määratlemisega ja veenab turgu tagasi minema vanadel headel aegadel makstud hindade juurde.

Seda déjà-vu-all-over-again lähenemisviisi võib näha uurides Verisign’s certificate practice statement (CPS) - dokumenti, mis reguleerib sertifikaatide väljaandmist. EV-sertifikaadi 2008 CPS turvanõuded on (välja arvatud väiksemad erinevused nende väljendamiseks kasutatavates juristides) praktiliselt identsed Verisign'i versioonis 1.0 CPS alates 1996. aastast loetletud 3. klassi sertifikaatide nõuetega. EV-sertifikaadid kerivad lihtsalt kella tagasi lähenemisviis, mis oli juba esimest korda ebaõnnestunud, prooviti seda 1996. aastal, nihutades lähteseisundit ja küsides kõrvalmõjuna 1996. aasta hindu. On isegi tehtud ettepanekuid mingisuguse libiseva akna lähenemise kohta sertifikaatide väärtusele, mille kohaselt, kuna paratamatu võistlus lõpuni odavendab kehtestatud sertifikaatide klasside tegelikku väärtust, peab neid kasutav tarkvara vähem ja vähem tõhusaks neid (näiteks brauserid ei kuvaks nende jaoks enam tabalukku)

Serverfaultis olevad kasutajad selgitavad ka seda, miks SSL-i sertifikaatide klassid midagi ei muuda ja on lihtsalt turundustrikk.

2016. aasta värskendus

LetsEncrypt (mis ei tee ühtegi EV-d) on massiliselt kasutusele võetud (~ 2 000 000 sertifikaati 4 kuu jooksul):

Selle sertifikaat saab Qualys SSL-serveri testil peaaegu täiusliku hinde A:

See on anekdootne tõendusmaterjal, mitte erapooletu uuring ega allikas, kuid kui me EV-sertifikaadi kasutusele võtsime, ei märganud peaaegu mingit erinevust müügis. Kuid seda peamiselt seetõttu, et olime tavaline B2B kaubanduse veebisait, mitte pank.

See tähendab, jah, kasutajad on teadlikud, mis on SSL, kuid see ei tundunud meile suurt muutust. Varem käitasime kogu veebisaiti SSL-is ja otsustasime siis kasutaja sisselogimisprotsessi ajal ainult SSL-ile vahetada (ja hoida neid SSL-is) ning leidsime, et liiklus ja müük kasvasid (ma ei tea miks?).

See tähendab, et olete naelapea pihta löönud - vähemalt meie jaoks näib see kõik pigem usalduse tajumist kui andmete tegelikku krüpteerimist.

none: Charles Robertson | none