De aller fleste av de større, norske nettstedene benytter krypterte forbindelser (HTTPS) for overføring av data mellom nettstedet webservere og brukernes nettlesere. Tilknyttet denne forbindelsen benyttes et TLS-sertifikat som i varierende grad kan gi troverdig informasjon om hvem som eier nettstedet brukerne besøker.
Extended Validation
Tydeligst gjøres dette dersom nettstedet har et Extended Validation-sertifikat (EV-sertifikat). I de fleste nettlesere vises da det juridiske navnet til nettstedeieren og en kode for opphavslandet i adressefeltet, ofte med grønne bokstaver, typisk mellom hengelåsen og nettadressen.
Utstedelse av et slikt sertifikat krever at utstederen i løpet av kort tid gjør en rekke kontroller av blant annet juridisk informasjon om nettstedet og eieren. Dette skal bidra til at nettleserbrukerne i større grad enn med enklere sertifikater kan være sikre på at nettstedet ikke er en forfalskning som forsøker å lokke brukerne til å oppgi fortrolige opplysninger.
Prisen på slike EV-sertifikater er betydelig høyere enn for ordinære sertifikater, som enkelte til og med tilbyr gratis. Det bidrar til at bruken av EV-sertifikater er heller begrenset.
I Norge er det første og fremst nettbanker og en enkelte nettbutikker som benytter EV-sertifikater.
– Fungerer ikke
Den vesentligste hensikten med EV-sertifikatene er at brukerne skal kunne se om EV-informasjonen til nettstedet alltid vises i det vanlige området i adressefeltet til nettleseren. Dersom EV-opplysningene ikke vises som forventet, så kan det være fare på ferde. Problemet er at det trolig er svært få som i det hele tatt legger merke til dette.
Troy Hunt, sikkerhetsspesialisten som er mest kjent for HaveIBeenPwned-tjenesten, omtalte tidligere i år en situasjon hos Paypal som han mener at tydelige demonstrerte at EV-sertifikatene ikke fungerer.
I mange måneder var det nemlig slik at Chrome ikke viste EV-opplysningene i forbindelse med Paypal.com. I Firefox ble de derimot vist i hele perioden. Hunt mente at årsaken kan ha sammenheng med at de to nettleserne benyttet forskjellige sertifiseringskjeder for Paypal-sertifikatet. Problemet i Chrome har blitt rettet i ettertid, men pågikk i minst åtte måneder, trolig uten at særlig mange la merke til det.
– […] her har vi et nettsted som pleide å ha EV, og dersom det noen gang virket, så var det bare for mennesker som visste at Paypal skulle ha det. Så hva signaliserer det at det ikke lenger er der? Det er tydelig at folk ikke går sin vei på grunn av fraværet av EV, skrev Hunt.
_logo.svg.png){kind=logo}
Skjules i nettlesere
Hunt mener at det ikke er noen hensikt med EV-sertikater. Akkurat det betyr lite. Langt større betydning vil det ha at flere av nettleserne snart skal slutte å vise EV-feltet til brukerne.
Faktisk ble visningen av EV-opplysningene fjernet fra Apples Safari allerede i fjor. Nylig ble det klart at desktop-utgavene av Chrome og Firefox skal følge etter. I mobilutgavene av disse nettleserne er det allerede slik at disse opplysningene kun vises når brukeren trykker på hengelåssymbolet ved adressefeltet.
Fra og med Chrome 77 vil det sammen desktop-utgaven. Denne versjonen kommer i september.
Endrer ikke atferden
Google begrunner dette valget med at både selskapets egen forskning og tidligere akademiske undersøkelser har vist at EV-opplysningene ikke bidrar til å beskytte brukerne på den måten det var tenkt.
– Brukere ser ikke ut til å gjøre sikre valg (slik som å la være å taste inn passord eller kredittkortinformasjon) når EV-feltet endres eller fjernes, noe som er nødvendig for at EV-feltet skal kunne gi noen meningsfylt beskyttelse, skriver Google.
Det faktum at feltet kan oppta betydelig plass i brukergrensesnittet, ikke minst dersom nettstedeieren har et langt navn, kombinert med at Google i Chrome har bevegd seg i retning av at sikre forbindelser nå er det normale, og at dette bør vises på en nøytral måte i nettleseren, gjør at Google nå velger å flytte EV-informasjonen til et mindre tilgjengelig sted.
Dette skjer temmelig parallelt med at Mozilla planlegger å gjøre det samme i desktop-utgavene av Firefox. EV-opplysningene vil i stedet vises i panelet som vises når brukeren klikker på hengelåssymbolet.
Svakheter
– Det har de siste årene en rekke ganger blitt stilt spørsmål om effekten av EV. Det er oppriktig tvil om brukerne legger merke til fraværet av positive sikkerhetsindikatorer, skriver Mozilla.
Cisco med ny løsning for autonom sikkerhet
I tillegg viser stiftelsen blant annet til en rapport om at EV-sertifikater med identiske virksomhetsnavn kan bli generert dersom det oppgis at virksomheten holder til i en annen jurisdiksjon, det vil si land eller delstat. Lite eller ingenting har blitt gjort for å løse dette problemet, som først ble omtalt for 18 måneder siden.
EV-endringene som Google og Mozilla nå planlegger har fått nevnte Hunt til å erklære EV-sertifikatene for virkelig døde.
