Ei EV-varmenteen näkyvyys kadonnutkaan!

Tietoturvamediassa on ollut kuluvan syksyn mittaan paljon esillä Googlen ja Mozillan päätös ottaa Chrome- ja Firefox-selaimista pois EV-tason SSL-varmenteiden näkyvyys. Lopputulos kuitenkin on, että kaikissa selaimissa Extended Validation -varmenteen käyttö näkyy edelleen selvästi. Sivun tuottavan organisaation nimi näkyy joko suoraan osoiterivillä tai yhden klikkauksen päässä. Verkkosivustolla kävijä pääsee helposti varmistumaan siitä, että on haluamallaan sivustolla eikä kalastelun uhrina.

Ensin yksi kappale taustaa: Kun sivustolla on EV-varmenne, on kyseinen organisaatio verifioitu tarkimmalla tasolla. Luotettava kolmas osapuoli (CA, Certification Authority) on tarkistanut organisaation tiedot ja varmistanut kahdelta organisaation henkilöltä SSL-varmenteen käytön – toinen näistä on johtotasolla. OV-tasolla (Organization Validation) varmistus tehdään yhdeltä henkilöltä ja DV-tasolla (Domain Validation) organisaation tietoja ei tarkisteta lainkaan, pelkkä domainin riittävä hallinta mahdollistaa varmenteen saamisen muutamassa minuutissa. Syyskuussa 2018 tehdyn tutkimuksen mukaan raportoiduista https-kalastelusivustoista 98,4% on varustettu DV-varmenteella, 1,6% OV-varmenteella eikä tiedossa ole yhtään kalastelusivustoa, jossa olisi EV-varmenne.

Sitten käytäntöön: On helpointa aloittaa Microsoft Edge -selaimella, koska siinä EV-varmennetulla sivustolla organisaation nimi näkyy edelleen samalla lailla otsikkorivillä, kuin se näkyi muissakin selaimissa aimmin:

EV-varmenteen näkyminen Edge-selaimessa (build 18362)

Kun Chromella katsotaan samaa sivua, ei yrityksen nimi enää näy osoitesivulla, mutta se näkyy heti seuraavassa näkymässä, kun klikataan osoitepalkissa olevaa lukon kuvaa.

EV-varmenteen näkyminen Chrome-selaimessa (Version 78.0.3904.87)

Jos Chromella katsotaan OV-varmenteella varustettua sivua, löytyy siitäkin tieto palvelun tuottavasta organisaatiosta, mutta neljän klikkauksen takaa. Käyttäjiä on hyvä informoida tästä polusta. Se voi tulla tarpeen, jos käyttäjä epäilee sivuston aitoutta.

Organisaation nimen näkyminen OV-varmenteessa Chrome-selaimessa

Firefox-selaimessakin organisaation nimi on EV-varmenteessa yhden klikkauksen päässä:

EV-varmenteen näkyminen Firefox-selaimessa (versio 70.0)

Firefoxilla organisaation löytyy OV-varmenteesta myös neljällä klikkauksella:

Organisaation nimen näkyminen OV-varmenteessa Firefox-selaimessa

On mielenkiintoista nähdä, mikä on EV-varmenteen rooli jatkossa. EU edellyttää yhä vahvempaa sähköistä identiteettiä verkkosivuilta esim. PSD2-sääntelyyn liittyvien EV-tasoisten Qualified Web Authentication (QWAC) -varmenteiden avulla . On esitetty myös ensimmäiset arviot siitä, että Yhdysvaltojen hallintokin alkaisi vaatia sähköisten identiteettien vahventamista käyttäjien suojaksi.

TiVin hyvässä artikkelissa 13.9.2019 Finanssiala ry:n johtava asiantuntija Teija Kaarlela käsitteli pankkimaksamista ja uutta PSD2-maksupalveludirektiiviä. Artikkeli päättyy hänen pätevään ohjeistukseensa: ”… Käyttäjän toiminnalla on edelleen iso merkitys. Kenenkään ei pidä tuudittautua sellaiseen ajatteluun, että uusien menetelmien myötä itse ei tarvitse olla tarkkana. Käyttäjän pitää pysyä edelleen selvillä siitä, missä sivustoilla hän seikkailee ja mihin tietojaan syöttää.”

Vastaa