Google en Mozilla stoppen met tonen bedrijfsnaam in url-balk van browser

Google en Mozilla zijn van plan om in komende versies van hun Chrome- en Firefox-browser de Extended Validation-certificaten van https-websites niet meer te tonen in de url-balk. Bij sites met zo'n certificaat staat de bedrijfsnaam tussen het slotje en de url.

Mozilla wil de verandering doorvoeren vanaf Firefox-versie 70, die in oktober uitkomt. Google haalt de Extended Validation-informatie uit de url-balk van Chrome vanaf versie 77 die in september verschijnt. Beide browsers blijven de informatie weergeven als gebruikers op het slotje klikken.

De Extended Validation-certificaten werden in 2007 ingevoerd en zijn bedoeld voor https-websites. Bedrijven kunnen bij een certificatenautoriteit tegen betaling een proces aanvragen om in aanmerking te komen voor zo'n certificaat. Na controle en goedkeuring wordt dan de bedrijfsnaam weergegeven. Dat moet het voor consumenten duidelijk maken wie de website beheert.

In Nederland gebruiken bijvoorbeeld banken en de overheid Extended Validation-certificaten. Zo is op de DigiD-website te zien dat het een website van Logius is. De certificaten zijn bedoeld om websitebezoekers meer zekerheid te geven over waar ze zich bevinden, maar volgens sommige experts heeft dat weinig nut. Zo stelde beveiligingsonderzoeker Troy Hunt vorig jaar dat veel mensen er niet op letten mede omdat de tien grootste websites wereldwijd dergelijke certificaten niet gebruiken. Bovendien zijn de certificaten duur en veel bedrijven en instanties zijn ook weer gestopt met het gebruik ervan, merkte beveiligingsonderzoeker Scott Helme vorig jaar op.

Apple stopte vorig jaar al met het weergeven van de informatie in de url-balk en ook in Edge is de bedrijfsnaam niet in de balk te zien. De versies van Chrome en Firefox voor smartphones laten de informatie ook niet zien.

Extended Validation-certificaat — De komende verandering in Firefox 70

Reacties (120)

120

116

Wijzig sortering

thanx 13 augustus 2019 19:44

Bedrijfsnaam hoeft er van mij niet in, maar extra markering voor een EV certificaat kan ik toch wel waarderen. Het zegt toch iets over de aanvrager van een certificaat.

Ik snap dat de ruimte goed gebruikt kan worden maar een slotje met een + teken of iets dergelijks zou toch ook kunnen?
Nu moet je bij iedere site de info open klikken.

Sharkoon @thanx • 13 augustus 2019 19:50

Het zegt de meeste mensen totaal helemaal niks. Dus dan maar weglaten.
Soms kom je ook hele rare namen tegen die helemaal niet overeenkomen met de naam in de url.

Blokker_1999

Browsers
Google Chrome
Google

@Sharkoon • 13 augustus 2019 20:11

En dat zijn de momenten waarop bij mij alle alarmbellen af gaan. Als ik naar de site van mijn bank surf wil ik zien dat dat EV cert er staat met de juiste naam en niet dat ik via 1 of andere gare proxy ga die mijn verkeer onderscherpt.

Opperpanter2 @Blokker_1999 • 13 augustus 2019 21:21

Is dat zo? Worlds 10 largest sites ... no EV.

https://twitter.com/troyhunt/status/885757111182934017

Audiodude @Opperpanter2 • 13 augustus 2019 22:04

Bij een bank geen groen slotje is stoppen met browsen.

Geen van deze 10 "Top Sites" bezitten voor mij iets van echte waarde.

Mijn bank, verzekeringen, DigiD, daar kunnen dingen misgaan die verstrekkende gevolgen hebben.

Die 10 topsites, als mijn account daar gehacked zou worden, zou ik er geen moment van wakker liggen.

Hooguit mijn email... Maar die heb ik zo weer terug.

Mopperman @Audiodude • 14 augustus 2019 05:55

Ik kreeg gister toevallig een SMS van de SNS bank (althans dat willen ze dat je denkt). Vervolgens blijkt dit Phising te zijn. De grap? De gekloonde website heeft gewoon een certificaat. Als je dus enkel op het groene slotje af moet gaan ga je dus nat.

Off-topic: gelukkig ben ik geen klant bij SNS dus vond het al raar... sowieso per SMS...

Argantonis @Mopperman • 14 augustus 2019 06:32

Daarom goed om ook altijd de hostname te checken, dat er een (willekeurig) certificaat is zegt op zich weinig.

Verwijderd @Argantonis • 14 augustus 2019 07:53

Maar dat groene slotje zorgt er wel voor dat het overgrote deel van de mensen op internet denkt dat ze op de juiste site zitten. Niet iedereen is skeptisch en checkt dat eerst.

Denni @Verwijderd • 14 augustus 2019 09:15

Heb je het nu over een groen slotje of een normaal slotje?

AlexFL @Mopperman • 14 augustus 2019 08:45

Een slotje of een groen slotje, dat is nogal een verschil..

pepijnm @AlexFL • 14 augustus 2019 10:20

Zover ik weet geeft let's encrypt je ook al een groen slotje en die is al gratis. Dus vraag me af of dat iets is om op te letten.
Volgends let's encrypt eigen forum kunnen ze geen fraudeurse website certificaaten revoken( https://community.letsenc...w-to-report-abuse/41106/4 )

Arietje @AlexFL • 14 augustus 2019 15:35

Dat lijkt me alleen een verschil tussen browsers. In Firefox zijn ze allemaal groen, in Chrome grijs, in Edge wit.

Mopperman @AlexFL • 14 augustus 2019 08:50

Helaas voor een niet-tweaker niet.

Ik vroeg aan een kennis: Wat denk jij? Echt of nep?
Deze zegt: Ik zie een slotje dus echt. De pagina is ook exact zoals die bij de SNS.

De waarheid: Een website clone - ironisch genoeg zelfs met de adviezen voor "veilig bankieren", een slotje en mensen trappen erin.

joco @AlexFL • 14 augustus 2019 13:55

ik zie nergens een groen slotje in mijn chrome
of het nu een EV certificaat is of niet
ook tweakres is bij mij gewoon grijs.

Audiodude @Mopperman • 17 augustus 2019 00:43

Goed lezen is lastig.

Ik zei : een Ferrari is een auto.
Jij zegt : nee niet elke auto is een Ferrari..

En dat heb ik dus nooit gezegd. Lees het nog een keer.

Ik zeg : geen groen slotje is stoppen met browsen.
Ik zeg niet : Als het groen is is het goed.

Mopperman @Audiodude • 17 augustus 2019 05:37

Bij een bank geen groen slotje is stoppen met browsen.

Dat is wat je zegt. Helemaal mee eens, echter is dot door de doorsnee consument ook waar;

Het slotje is groen, het is veilig

Ondertussen is het een clone en niet veilig. Ik snap wat je zegt maar voor veel mensen is het systeem te ingewikkeld.

Opperpanter2 @Audiodude • 13 augustus 2019 22:12

In chrome hebben de banken al geen groen slotje meer. Het hele punt is dat EV eigenlijk niks toevoegt, althans niet waar de gemiddelde gebruiker iets mee kan.

"Nope, this isn’t the HTTPS-validated Stripe website you think it is":

https://arstechnica.com/i...-website-you-think-it-is/

Alex3 @Audiodude • 14 augustus 2019 18:57

E-mail gebruik je om nieuwe wachtwoorden in te stellen. Dat kan een hacker dan ook.

mbb @Opperpanter2 • 13 augustus 2019 22:18

en hoeveel daarvan zijn banken, verzekeringsmaatschappijen, beursmakelaars of ander soort financiële/vertrouwelijke sites?

[Reactie gewijzigd door mbb op 23 juli 2024 11:24]

HollowGamer @Blokker_1999 • 13 augustus 2019 20:43

Maar kan je dat niet anders oplossen? Helaas gebruiken veel bedrijven een proxy en er zal altijd wel een reden voor te vinden zijn waarom dat dit de juiste manier is.

Het enige wat ik mij kan bedenken is iets op DNS of browser niveau. Er is in het verleden gebleken dat enkel certificaten helaas geen garantie geven op 100% betrouwbaarheid.

PS. @BobV Ben het helemaal met je eens hoor! Zo'n netwerk vertrouw ik voor geen meter.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 01:19]

BobV @HollowGamer • 13 augustus 2019 21:24

Een HTTPS-proxy is nooit de juiste manier! Als een bedrijf graag MITM wil gaan spelen met mijn internetverkeer, hebben ze ook overduidelijk de verkeerde prioriteiten.

Verwijderd @BobV • 13 augustus 2019 21:58

Tot je een trojan krijgt die ze niet kunnen filteren dankzij een Lets Encrypt certificaat.

BobV @Verwijderd • 13 augustus 2019 22:15

Nee hoor, dat kan prima zonder proxy. Hostnames en ipadressen zijn namelijk wel zichtbaar, en daar kan iedere fatsoenlijke firewall gewoon op filteren. Zonder in de payload te hoeven kijken.

Verwijderd @BobV • 14 augustus 2019 05:37

Ah dus de proxy kan de trojan ruiken?

kozue

Browsers

@Verwijderd • 14 augustus 2019 09:58

Als de trojan niet bekend is bij de proxy zal die m toch niet blokkeren, hoeveel proxies je er ook tussen zet. Als de trojan wel bekend is kunnen ze ook het hele domein blokkeren.

Henrikop @Verwijderd • 14 augustus 2019 16:22

Als je bedrijf in je payload kan kijken... dan kan een hacker dat ook. Zeer slecht idee! Dat is de hele reden waarom backdoors dus zo'n slecht idee zijn.

g4wx3 @BobV • 14 augustus 2019 00:38

wat dacht je van een oude site zonder https, die kredietkaartgegevens opvraagt (om oude software te kopen)

http://www.staroffice.org/

Gelukkig dat chrome het formulie op dergelijke sites herkent en blokkeert, Maar IE9 zal dat dan weer niet doen.

[Reactie gewijzigd door g4wx3 op 23 juli 2024 11:24]

kozue

Browsers

@g4wx3 • 14 augustus 2019 09:59

Maar IE9 zal dat dan weer niet doen.

IE9...? Het is toch niet meer 2013? Als je dat nog steeds gebruikt verdien je gehacked te worden.

CMG @HollowGamer • 14 augustus 2019 08:48

Er zijn nog andere manieren om al je SSL verkeer uit te lezen zonder een ander certificaat uit te serveren: https://textslashplain.com/2019/08/11/spying-on-https/

Paul @Blokker_1999 • 14 augustus 2019 19:10

Dus als jij naar (nu heeft die site het niet, maar als voorbeeld) Tweakers gaat, en er staat Persgroep, dan gaan alle alarmbellen af? Als je naar Google gaat en er komt Alphabet te staan?

Dan zullen er veel alarmbellen afgaan ben ik bang; een URL hoeft helemaal niet overeen te komen met de bedrijfsnaam... De voorbeelden die ik noem zijn misschien niet de beste omdat de Persgroep en Alphabet moederbedrijven zijn waardoor er in die certificaten mogelijk alsnog Tweakers of Google zou hebben gestaan, maar het komt regelmatig voor dat één bedrijf meerdere websites heeft.

Dat is misschien niet zo handig, maar wel de realiteit. Ik vermoed dat het mede de reden is dat browsers het niet meer weer (gaan) geven.

[Reactie gewijzigd door Paul op 23 juli 2024 11:24]

Armin @Sharkoon • 13 augustus 2019 22:39

Het zegt de meeste mensen totaal helemaal niks. Dus dan maar weglaten.

Veel security zegt mensen niets maar werkt wel. Denk aan DKIM bij email. Zie je niet eens.

Zo ook bij EV certificaten. De extra validatie bij aanvraag en de verplichte revocation check bij site bezoek hebben wel degelijk potentieel meerwaarde voor de bezoeker, ook al zegt het die bezoekers wellicht niets.

kozue

Browsers

@Armin • 14 augustus 2019 10:12

Ik denk eigenlijk dat een naam als 'Logius' op digid.nl meer argwaan opwekt dan vertrouwen. Dat heeft niks te maken met hoeveel iemand van security weet, maar of je het bedrijf wel of niet kent. Ik had de naam tot aan vandaan nog nooit gehoord en zou zo'n site niet meteen vertrouwen. Als ik het uberhaupt zou zien... ik weet niet waarom maar mijn Firefox geeft al heel lang geen bedrijfsnamen meer weer in de adresbalk.

e.dewaal

@Sharkoon • 13 augustus 2019 20:10

Inderdaad, bij overheidsinstanties zie je het ook. Bij digid pagina's wordt ook de instantie die digid beheerd weergegeven in plaats van "de Nederlandse Overheid" of iets in die trend.
Bij banken staat het doorgaans wel goed, in dat geval bevorderd het de veiligheid wel degelijk.

i-chat @thanx • 13 augustus 2019 21:31

De verachterlijking van het internet is in volle gang,

Elke debiele aap kan via letsencrypt een slotje krijgen (ok dat lijkt me op zich prima) maar toen ging www. er al vanaf en nu dan ook nog de bedrijfsnaam?

straks krijg je alleen nog maar 'website' of 'email' te zien in de adresbalk?

Zyphrax @i-chat • 14 augustus 2019 05:15

Ben ik niet met je eens. Dit soort schijnveiligheid heeft weinig nut. Eigenlijk evenveel nut als die stupide cookie-waarschuwingen die iedereen wegklikt.

Certificaten zijn een prima oplossing voor veilig TLS verkeer. EV certificaten zijn nodeloos duur en de gemiddelde gebruiker snapt er geen moer van, die zien een slotje en denken dat het veilig is.

Er zijn slimmere manieren om duidelijk te maken dat een site legitiem is. Ik denk bijvoorbeeld aan het tonen van een stukje informatie zodra je je gebruikersnaam ingevuld hebt, iets dat alleen de legitieme site kan weten.

Wellicht moet er in de toekomst ook gekeken worden naar blockchain-achtige oplossingen voor DNS registraties / aanpassingen.

84hannes @Zyphrax • 14 augustus 2019 08:14

Er zijn slimmere manieren om duidelijk te maken dat een site legitiem is. Ik denk bijvoorbeeld aan het tonen van een stukje informatie zodra je je gebruikersnaam ingevuld hebt, iets dat alleen de legitieme site kan weten.

Zodra een man-in-the-middle jouw gebruikersnaam weet kan hij deze doorsluizen naar de legitieme website. Die zal dan het stukje informatie waar jij het over hebt serveren, en de man-in-the-middle kan deze informatie op zijn eigen website tonen. Lijkt me geen werkend systeem.
Yahoo! deed het een tijdje, een persoonlijk plaatje tonen tijdens het inloggen, maar ik denk dat ze er vrij snel achter kwamen dat het niets toevoegt.

Verwijderd @Zyphrax • 14 augustus 2019 07:56

Het zou bijv kunnen als je ben ingelogd en dan welkom <naam>.

Laten we maar hopen dat er nooit blockchain achterige oplossingen komen voor DNS registraties/aanpassingen.

o.verhie @Verwijderd • 14 augustus 2019 08:35

Het zou bijv kunnen als je ben ingelogd en dan welkom <naam>.

Dus je zou dan eerst op een website moeten inloggen om er achter te komen dat je op de verkeerde website je inloggegevens over de schutting hebt gegooid?

[Reactie gewijzigd door o.verhie op 23 juli 2024 11:24]

Verwijderd @o.verhie • 14 augustus 2019 08:39

So what? je gebruikersnaam maakt niets uit. je wachtwoord zijn alleen maar rare tekens zoals S^Ec*4yL3glk%zKC. Nou dan heb 1 site je inloggegevens. vervolgens zie je dat je naam er niet staat en ga je naar de goede site waar je het meteen aanpast.

Heb je geen wachtwoord generator met eigen kluis voor alle websites of zelfde wachtwoord op elke website moet je ook niet raar opkijken.

Zenomyscus @Verwijderd • 14 augustus 2019 09:26

2 fouten:
- een gemiddeld wachtwoord ziet er niet zo uit en wordt op meerdere plaatsen gebruikt
- weinig mensen gaan steeds hun wachtwoord aanpassen

Zomaar je logingegevens bij een ander invullen is zeer gevaarlijk en dat zal het ook altijd blijven. Als je pech hebt ben je in een minuut of 5 meer accounts kwijt. Goed, in de praktijk zal het vaak meevallen. Maar wil je het risico lopen? Ik niet

Verwijderd @Zenomyscus • 14 augustus 2019 11:51

Vandaar dus ook mijn aanvulling dat als je dat niet heb, je ook niet raar moet opkijken. Het is in 2019 vrij eenvoudig en normaal om het wel te hebben. Als je nu nog steeds een gemiddeld wachtwoord op meerdere plaatsen gebruik moet diegene juist worden aangepakt door dit soort praktijken. Website's moeten zich niet aanpassen om maar zo eenvoudig te blijven. De gebruiker moet zich aanpassen om veilig om te gaan met hun eigen gegevens.

Jasper Janssen @Verwijderd • 14 augustus 2019 11:21

“Meteen naar de goede site waar je het aanpast”: fout. Je bent op dat moment al te laat en de robot heeft je wachtwoord dan al weggemigreerd. en je recovery e-mail aangepast, en geprobeerd in te loggen met dezelfde gegevens bij alle Nederlandse banken, twitter, Facebook, etc.

Verwijderd @Jasper Janssen • 14 augustus 2019 11:52

Die mag dan toch ook inloggen met dezelfde gegevens? Daarom random wachtwoorden per site in een kluis en nooit 1 wachtwoord op meer dan 1 site gebruiken.

Jasper Janssen @Verwijderd • 14 augustus 2019 12:21

Daarmee heb je het eerste probleem nog niet opgelost. En de attitude van “dan moeten ze maar voelen” is waarom nerds gezien worden als eikels door de gemiddelde persoon.

Verwijderd @Jasper Janssen • 14 augustus 2019 18:35

Er zal ook niet 123 een oplossing voor zijn om het perfect te doen en het eerste probleem op te lossen. en stel er is daar wel een oplossing voor word erna wel weer op een andere manier gegevens buitgemaakt.

De gemiddelde persoon denkt ook dan moeten ze maar voelen bij filmpjes van criminelen die worden aangepakt, dus nee niet alleen nerds.

Die attitude is ontstaan doordat er 12309129392 nieuwsberichten zijn over inloggegevens buitmaken, niet alleen op nerdsites zoals tweakers maar ook op nu.nl waar de gemiddelde persoon zich bevindt. en dan alsnog denkt men niet van goh, laat ik dit is even wat beter aanpakken, ja dan moet je het maar voelen, want je krijgt het ze niet wijs door alleen dit soort nieuwsberichten te plaatsen.

UPPERKEES @Zyphrax • 14 augustus 2019 06:39

Dus de gemiddelde gebruiker wordt het uitgangspunt voor security?

Zyphrax @UPPERKEES • 15 augustus 2019 19:04

Praktisch gezien komt het er wel op neer. Als je een EV certificaat aanschaft voornamelijk omdat browsers daarmee aantonen aan de gebruikers dat jij bent wie je zegt dat je bent, maar dat dat vervolgens weinig effect heeft, dan heeft het EV certificaat weinig effect. Het TLS verkeer wordt er niet veiliger / minder veilig van.

[Reactie gewijzigd door Zyphrax op 23 juli 2024 11:24]

Keeper of the Keys @Zyphrax • 14 augustus 2019 15:08

Het is heel moeilijk om te voorkomen dat de niet-legitieme site de gebruikersnaam die je invoert tegelijk invoert op de legitieme site om daarna het stukje "veilige informatie" zo door te spelen naar de phishing site.

Een EV cert mag dan duur zijn maar het staat ook voor het feit dat degene die hem presenteert is wie hij claimt te zijn en het verwijderen van EV informatie uit de adres balk zal veiligheid niet verbeteren.
(Voor hen die er wel opletten gaat de veiligheid achteruit, voor hen die er niet opletten die waren zich hoe dan ook onveilig aan het gedragen)

Zyphrax @Keeper of the Keys • 15 augustus 2019 19:08

Het zal de veiligheid niet verbeteren, maar blijkbaar doet het überhaupt weinig voor de veiligheid. Mensen zien een slotje en denken al dat het veilig is, of het nou een gratis LetsEncrypt certificaat of een duur EV certificaat.

Er is duidelijk een betere oplossing nodig.

AddictIT @i-chat • 14 augustus 2019 07:55

Wat is volgens jou dan de meerwaarde van www?

Ik kan begrijpen dat je wil dat www in de adresbalk staat wanneer de website zo aangeroepen wordt. Meer en meer zie je websites zonder www ervoor, want het voegt gewoon niets toe...

Het heeft niets te maken met verachterlijking zoals jij het benoemt, maar het feit dat browsers zich bewust worden van de zin en onzin van certificaten. EV is gewoon geldklopperij, zeker als het de gemiddelde internetgebruiker ook nog eens weinig zegt. Voor de zogenaamde voordelen voor de eigenaren van dergelijk certificaat moet je het al helemaal niet doen!

Paul @AddictIT • 14 augustus 2019 19:32

Precies je tweede alinea. Als de URL www bevat, dan zou de URL-balk dat ook moeten doen.

De vraag of je als website wel of geen www ervoor wil hebben is een hele andere, en lijkt me niet wat i-chat bedoelt

Zelf leid ik mensen die naar bedrijf.tld gaan om naar www.bedrijf.tld; het zit er bij mensen zo in dat een website met www begint; waarom vechten tegen de publieke opinie? Sterker nog, in de logging kom ik regelmatig aanroepen naar www.support.bedrijf.tld tegen ipv support.bedrijf.tld. Wat precies de reden is dat die DNS-records / virtualhost / ssl-certificaten bestaan...

[Reactie gewijzigd door Paul op 23 juli 2024 11:24]

jabwd @thanx • 13 augustus 2019 21:51

Slotje moet juist helemaal weg, negatieve markering werkt veel beter dan positieve. Dit is niet nieuws en gaan ze ook zeker in browsers doen.

84hannes @thanx • 14 augustus 2019 08:10

Bedrijfsnaam hoeft er van mij niet in, maar extra markering voor een EV certificaat

Ik dacht dat het zo werkte:
Een normaal certificaat geeft alleen maar aan dat je echt op de url zit die je in de adresbalk hebt. Als ik het domein "Rabobanlc.eu" aanvraag, kan ik een certificaat krijgen voor dit domein. Het "groende slotje" geeft dus aan dat je de, eventuele verkeerd getypte, ook echt bereikt hebt. Veel belangrijker dan veel mensen denken, want IP-pakketjes kunnen via allerlei routes jouw PC bereiken, en je kunt niet al die routes vertrouwen.
Een EV-certificaat geeft naast een URL, die iedereen aan kan vragen ook wat zekerheid over de aanvrager ervan. Als ik de eigenaar ben van "Rabobanlc NV" zou ik daar een EV-certificaat van kunnen krijgen? Het weergeven van die bedrijfsnaam lijkt me niet nutteloos, omdat het eenvoudiger te begrijpen is dan de url (die inmiddels wel eens geforward zou kunnen zijn naar "rabobank.secure.hypersecure.tk". Maar de bedrijfsnaam is nog steeds "Rabobanlc NV", een fout is daar redelijk te spotten. Als een browser nu alleen nog weergeeft dat ik een EV-certificaat heb, maar niet voor welk bedrijf, dan voegt dat toch helemaal niets toe?

CAPSLOCK2000

Google Chrome
Google

@thanx • 14 augustus 2019 11:13

Bedrijfsnaam hoeft er van mij niet in, maar extra markering voor een EV certificaat kan ik toch wel waarderen. Het zegt toch iets over de aanvrager van een certificaat.

Wat zegt het dan? Volgens mij wordt dat namelijk een beetje overschat.
Een EV-certificaat zegt vooral dat de eigenaar het geld had om er voor te betalen en een inschrijving heeft bij de Kamer van Koophandel (of zo iets). De friettent om de hoek kan ook een certificaat krijgen, en als die friettent toevallig Phillips of AbnAmro heet dan komt die naam op het certificaat.

Jasper Janssen @CAPSLOCK2000 • 14 augustus 2019 11:23

Except not. Dat wordt er nu precies uitgefilterd voor die veel geld van een EV.

Waar jij het over hebt is de normale situatie met normale certificaten.

CAPSLOCK2000

Google Chrome
Google

@Jasper Janssen • 14 augustus 2019 14:34

Except not. Dat wordt er nu precies uitgefilterd voor die veel geld van een EV.

Hoe werkt dat dan? Voor zover ik weet eigenlijk alleen maar over de technische aspecten van de controle. Niet over de vraag of een bepaalde bedrijfsnaam verwarrend kan zijn of niet.
Met de regels bedoel ik Guidelines For The Issuance And Management Of Extended Validation Certificates.

Sterker nog, daar staat in:

2.1.3.
Excluded Purposes
EV Certificates focus only on the identity of the Subject named in the Certificate, and not on the behavior of the Subject.
As such, an EV Certificate is
not
intended to provide any assurances, or otherwise represent or warrant:
(1)
That the Subject named
in the EV Certificate is actively engaged in doing business;
(2)
That the Subject named in the EV Certificate complies with applicable laws;
(3)
That the Subject named in the EV Certificate is trustworthy, honest, or reputable in its business dealings; or
(4)
That it is “safe” to do business with the Subject named in the EV Certificate.

Zo'n EV certificaat zegt dus niks over de betrouwbaarheid van de eigenaar. Het zegt alleen dat de aanvrager daadwerkelijk een bedrijf heeft met de aangegeven naam.

PPie @thanx • 14 augustus 2019 20:47

Bedrijfsnaam hoeft er van mij niet in, maar extra markering voor een EV certificaat kan ik toch wel waarderen. Het zegt toch iets over de aanvrager van een certificaat.

Apple maakt het slotje en de url groen bij EV. Ik vind dat een fijne en duidelijke indicatie.

Katsunami @thanx • 13 augustus 2019 19:48

Het lijkt erop dat zoveel mogelijk informatie verbergen achter knopjes, linkjes, en (soms zelfs onzichtbare) uitschuifpanelen modern is. Dit valt onder hetzelfde kopje als: "Wij zijn bezig met het updaten van uw PC. Wacht...." (Wie zijn "wij", en hoe lang moet ik dan wachten? Dat wordt niet aangegeven.)

Alsof het verbergen van informatie applicaties gebruikersvriendelijker maakt...

Jester-NL 13 augustus 2019 19:52

Hmm... deze keus maakt dat een EV nu ongeveer net zoveel waard is als een Let's Encrypt-certificaat.

WhiteDog @Jester-NL • 13 augustus 2019 20:05

Laatste nagel in de doodskist van menig certificaat-uitgever... waarom zou iemand nog voor een certificaat van betalen?

vosManz @WhiteDog • 13 augustus 2019 20:14

Dat moet het voor consumenten duidelijk maken wie de website beheert.

Daarom.

Bij sites van bijvoorbeeld banken en overheden zie ik de meerwaarde eigenlijk wel in. Ik controleer het zelf eigenlijk ook zelden, echter bij twijfel kijk ik er wel naar. Nu zie je op een goed gemaakte phishing site die https gebruikt eigenlijk geen verschil meer. Juist omdat een https certificaat zo eenvoudig te verkrijgen is, kan de gemiddelde crimineel dat ook op een phishing site of iets dergelijks zetten.

Ik kan me voorstellen dat enig direct zichtbaar onderscheid toch wel handig kan zijn. Bijvoorbeeld een plusje bij het slotje, of een groen slotje bij EV i.p.v. een grijs slotje (niet-EV).

oef! @WhiteDog • 13 augustus 2019 20:15

1. Certificaten zijn voor 99,99% van de mensen pure magie
2. Als bedrijf heb je misschien geen zin om tientallen tot honderden certificaten te beheren. Let's Encrypt is supersimpel en het verlengen van certificaten ook maar je moet wel weten hoe en het inrichten.

Tokkes @oef! • 13 augustus 2019 20:19

Als bedrijf heb je misschien geen zin om tientallen tot honderden certificaten te beheren. Let's Encrypt is supersimpel en het verlengen van certificaten ook maar je moet wel weten hoe en het inrichten.

Een beetje bedrijf doet aan config management voor de servers, a la Ansible, Chef, Puppet, Salt, SSM, ...
Daarmee heb je heel snel modules/providers/resources gemaakt om dat allemaal lekker consistent te houden.

edit, beetje laat, maar puntje 1:
Misschien pure magie, maar wel magie waar veel mensen al eens flink mee zijn in aanraking gekomen

[Reactie gewijzigd door Tokkes op 23 juli 2024 11:24]

Ed Vertijsment @Tokkes • 13 augustus 2019 20:24

En wie onderhoud die Ansible playbooks? Of de configs die, die plaatsen?

Tokkes @Ed Vertijsment • 13 augustus 2019 20:32

Config management is idealiter gezien idempotent - dwz het resultaat is altijd hetzelfde.
Onderhoud van de cookbooks/playbooks/modules/.... - ten eerste zijn er een pak 'officiele' oplossingen die je kan implementeren. Apache2, letsencrypt hebben beiden legio implementaties in de public chef supermarket, bijvoorbeeld, die je kan gebruiken of je in-house implementatie kan op baseren.

En het mooie aan zo'n automagisch config management is net dat je niet naar je configs dient te kijken. Zelfs als er eentje wordt aangepast door een user of een ander proces (foei trouwens), gaat de eerstvolgende chef/puppet/whatever run die fout gewoon weer rechttrekken.

Webservers heb je graag immutable. Scheelt hem hopen in moeite om bij te schalen als je op een kale host gewoon automatisch wat playbooks loslaat en als er een host crasht, zit je geen uren/dagen misschien zonder website of met verminderde capaciteit: je knalt gewoon een nieuwe VM erbij en als je het een beetje goed doet, krijgt die automatisch zijn config mee.

Rule of thumb: als je het vaker dan 2 keer moet doen, automatiseer het dan.
Let'sEncrypt hamert daar ook specifiek op: de korte duur van zo'n certificaat zou je moeten motiveren om het vernieuwen automatisch te laten verlopen, en dat zou als effect moeten hebben dat er minder certificaten dreigen te verlopen.

[Reactie gewijzigd door Tokkes op 23 juli 2024 11:24]

Ed Vertijsment @Tokkes • 13 augustus 2019 20:42

Zie mijn reactie op BitProcressor, je hebt overigens qua CM gebruik gelijk. Alleen vind ik het naïef on te denken dat daarmee elk onderhoud weg is of nooit meer een aanpassing nodig heeft.

BitProcessor @Ed Vertijsment • 13 augustus 2019 22:49

Ook mijn reactie was niet in de zin van CM = 0 onderhoud.
Ik wou alleen maar zeggen dat de extra workload voor LE implementatie minimaal is als alles toch al via één of andere CM tool wordt afgehandeld.

[off-topic]
Tegenwoordig ben ik persoonlijk trouwens meer bezig met K8S + GitOps.
Volledig cluster-state beschreven in een GIT repo.

[/off-topic]

BitProcessor @Ed Vertijsment • 13 augustus 2019 20:32

@Ed Vertijsment Wat is je punt?
@tokkes maakt duidelijk dat bedrijven met een iets of wat serieuze aanpak reeds aan config-management doen.
Aan bestaande Ansible PlayBooks een stukje voor LetsEncrypt toevoegen vraagt nu niet bepaald een extra werknemer. Als de configuratie juist wordt toegepast doet LE verder volledig automatisch z’n werk.

Ed Vertijsment @BitProcessor • 13 augustus 2019 20:40

Mijn punt is dat er nooit 0 onderhou zal zijn. Tuurlijk is CM-tool belangrijk, ik werk zelf ook met Ansible, maar daarmee is er nog steeds onderhoud, en dus werk.

Er is ook geen garantie dat playbooks altijd blijven werken. Het kan maar zo dat een upgrade van distro X pakket Y iets breekt waardoor er ff naar gekeken worden. Niks ernstigs, maar onderhoud is echt niet zomaar weg door een CM tool te introduceren.

Tokkes @Ed Vertijsment • 13 augustus 2019 20:47

Het kan maar zo dat een upgrade van distro X pakket Y iets breekt waardoor er ff naar gekeken worden

Heb je helemaal gelijk in. En daarom: Version Management en Change management. Je gooit je hele serverpark niet zomaar op een nieuwe versie van een distro in productie zonder dat je dat eerst uitvoerig hebt getest. Maar dat probleem met updates enzo heb je sowieso ook voor als je het allemaal handmatig beheert.

Uiteraard is onderhoud in zichzelf niet zomaar weg maar reproducible results neemt wel een hoop zorgen weg over consistentie over je omgeving en andere. En het is schaalbaar, waar manueel werk dat niet zozeer is.

En daarom zal ik ook nooit begrijpen waarom Canonical in zijn Ubuntu AMI's standaard Periodic-Upgrades laat aanstaan want dat kreng heeft mij al flink wat hoofdpijn bezorgt.

[Reactie gewijzigd door Tokkes op 23 juli 2024 11:24]

Ed Vertijsment @Tokkes • 13 augustus 2019 20:54

Qua testen en versiebeheer eensch natuurlijk. Al draai ik zelf wel unattended upgrades voor security packages. Heeft bij mij nog nooit voor ellende gezorgd en geeft wel een wat veiliger gevoel.

Natuurlijk niet voor reguliere packages.

oef! @Tokkes • 13 augustus 2019 21:28

Helemaal waar, was ik simpelweg vergeten maar ook dan zijn er helaas nog genoeg organisaties die dit soort scripting niet echt in de vingers hebben of het om andere redenen niet implementeren.

Opperpanter2 @Jester-NL • 13 augustus 2019 21:19

Inderdaad: https://www.troyhunt.com/...on-certificates-are-dead/

ronkerz 14 augustus 2019 14:05

Slechte ontwikkeling, ik ben ondertussen al jaar en dag bezig om mijn oude lui in te lichten dat ze niet zo zeer naar het slotje moeten kijken maar ook naar de bedrijfsnaam. Dit blijkt makkelijker voor ze te zijn dan de url te ontcijferen. Nu hebben ze dit eindelijk onder de knie en stoppen de browsers hiermee...

Devaqto 13 augustus 2019 19:38

Jammer, dit gaf mij toch altijd wel een betrouwbaarder "gevoel". Ik weet dat er technisch geen verschil zit tussen een DV-certificaat en een EV-certificaat, maar een EV variant vereist toch wat extra validatie.

e.dewaal

@Devaqto • 13 augustus 2019 19:46

Technisch kan er dan wel geen verschil zitten, maar het geeft wel een verschil in de adresbalk als een nepsite beveiligd is met een dv certificaat, in plaats van een EV certificaat van de bank zelf. Als mensen weten dat ze er op moeten letten kan het faude voorkomen. Nu echter wordt vaak alleen maar gewezen op het "slotje" wat gemakkelijk verkregen kan worden.

Armin @e.dewaal • 13 augustus 2019 22:35

Technisch kan er dan wel geen verschil zitten

Probleem is echter dat er wél een verschil in zit. Het groene kleurtje en de bedrijfsnaam is cosmetisch, maar de RFC spec zegt dat bij een EV certificaat men expliciete revocation checks moet doen. Met name Google Chrome doet haar uiterste best om het nooit te hoeven doen ivm performance, met al dan niet legitieme onderbouwing. Gevolg is dat bij een non-EV je doorgaans geheel geen revocation checks hebt, en bij EV altijd.

Nu de cosmetische indicatie verdwijnt zullen veel sites geen EV meer nemen, met als gevolg verminderde revocation checks. De experts zijn verdeeld hoe erg dat is. Ikzelf vind het jammer.

Blokker_1999

Browsers
Google Chrome
Google

@Devaqto • 13 augustus 2019 20:15

Technisch is er niet veel verschil, maar doelmatig wel. Een DV certificaat geeft aan dat het verkeer tussen jouw en jouw doel beveiligd is. Maar geeft niet aan wie de eigenaar van dat doel is en zonder bijkomende maatregelen. Met een EV certificaat ben je direct een heel stuk zekerder van met wie je aan het communiceren bent.

Devaqto @Blokker_1999 • 13 augustus 2019 20:17

Daarom zei ik ook: "vereist toch wat extra validatie."

gertvdijk @Devaqto • 13 augustus 2019 19:46

Probleem zat hem dan ook meer in het omgekeerde: is de afwezigheid van die bedrijfsnaam minder veilig?

Daarnaast bleek het redelijk eenvoudig om in een ander(e) staat/land/jurisdictie eenzelfde naam te registreren en kon een CA prima binnen de kaders het misleidende EV certificaat uitgeven.

Valideren of waar je mee bent verbonden precies dat is waar je mee bedoelt te verbinden is zo makkelijk nog niet. Een domeinnaam is is, zo blijkt, de eenvoudigste en daarmee te beste methode in termen van security UX.

Bensimpel 13 augustus 2019 19:46

Google en co slopen er zo steeds meer uit, nu zie je ook al geen https en www meer, whats next? De complete url gewoon weghalen en maar een klein favicon tonen?

(TWIJG) @Bensimpel • 13 augustus 2019 19:53

Safari toont niet eens favicons

OT: Nee, het deel vlak voor .com/.net/.be... zal altijd wel blijven, en de landencodes enz. waarschijnlijk ook, maar de rest? Behalve voor de link te kopiëren of te weten waar op een site men zit is het natuurlijk niet 100% noodzakelijk.
(Noot: Zelf ben ik geen voorstander van het versimpelen van de adresbalk)

[Reactie gewijzigd door (TWIJG) op 23 juli 2024 11:24]

Tokkes @(TWIJG) • 13 augustus 2019 20:21

landcodes blijven misschien wel, maar nodig zijn ze niet als je als bedrijf groot genoeg bent

Vraag me af waarom http://dns.google en http://domains.google het wel doen maar dan iets als https://mail.google en https://cloud.google bestaan dan (nog) niet.

[Reactie gewijzigd door Tokkes op 23 juli 2024 11:24]

(TWIJG) @Tokkes • 13 augustus 2019 20:58

Google is gewoon niet zo consequent op het vlak van domeinnamen en urls, om maar een voorbeeld te noemen, ze tonen www. niet meer in Chrome maar google.com zal iedereen doorverwijzen naar www.google.com, oftewel vind je dat www. belangrijk, is oftewel niet.

Tokkes @(TWIJG) • 13 augustus 2019 21:06

ze tonen www. niet meer in Chrome maar google.com zal iedereen doorverwijzen naar www.google.com, oftewel vind je dat www. belangrijk, is oftewel niet.

Doorverwijzen zoals het hoort als het de bedoeling is, geen probleem mee.
Voor google vind ik dat nu niet belangrijk, voor mijn eigen spul wel. mijn www. subdomein resolved naar wat anders dan mijn 'naked' domein en dus vind ik het een beetje "meh"

e.dewaal

@(TWIJG) • 13 augustus 2019 20:07

Ik ben vooral voorstander van het leesbaar maken van urls, al die codes waar normale gebruikers niets van snappen is ook geen vooruitgang. Maar dat is een hele andere discussie.
Veiligheid staat bij mij ook hoog in het vaandel. Aangezien dit de veiligheid aangaat zou ik het erg jammer vinden als dit verdwijnt.

mrdemc @(TWIJG) • 13 augustus 2019 20:54

offtopic:
Voor Safari gebruik ik de app
"TLS Inspector", kun je toch het certificaat bekijken via het Share icoon

[Reactie gewijzigd door mrdemc op 23 juli 2024 11:24]

Verwijderd @Bensimpel • 13 augustus 2019 20:09

Je krijgt een slechte beoordeling, maar blijkbaar is zelfs de Tweaker niet op de hoogte dat dit precies is wat Google wil: https://tweakers.net/nieu...-weergeven-in-chrome.html

Is ook logisch: Google wil dat je alles via hun zoekmachine doet. Niks onafhankelijk DNS systeem: Google resultaten met een AMP website er achter, dát is wat Google wil. Uiteraard omdat dat beter is voor de consument... We are not evil, yeah right

VriendP2 @Verwijderd • 13 augustus 2019 21:27

Stomme vraag misschien maar wat maakt AMP slecht? Had er nog nooit van gehoord.

Verwijderd @VriendP2 • 14 augustus 2019 07:39

AMP is een webcomponent framework ontwikkeld door Google.
Korte samenvatting: als jij je aan de Google standaard houdt met een AMP website dan zorgt Google er voor dat jou website op hun servers gecached wordt. Als je dan word aangeklikt in de zoekmachine van Google staat je pagina sneller op je scherm ==> meer omzet.

Voor Google werkt dit natuurlijk weer op een paar manieren monopolie bevorderend:
Doordat je AMP (Google made) gebruikt hebben ze een grote vinger in de pap in de verdere ontwikkeling van het internet/www.
Doordat je AMP gebruikt wil je natuurlijk zo goed mogelijk gevonden worden in de Google zoekmachine, dan heb je er immers het meeste profijt van.
Je zit op de Google site, niet op de site zelf. Qua identificatie zie je dus ook netjes Google staan als je op een AMP website via Google zit.
Alle advertentie inkomsten, maar ook alle tracking/marketing info via een gecachte website geen lekker richting Google.

Nadelen van AMP:
Doordat je AMP (Google made) gebruikt hebben ze een grote vinger in de pap in de verdere ontwikkeling van het internet/www.
Doordat je AMP gebruikt wil je natuurlijk zo goed mogelijk gevonden worden in de Google zoekmachine, dan heb je er immers het meeste profijt van.
Je zit op de Google site, niet op de site zelf. Qua identificatie zie je dus ook netjes Google staan als je op een AMP website via Google zit.
Alle advertentie inkomsten, maar ook alle tracking/marketing info via een gecachte website geen lekker richting Google.

Meer info hierover en waarom het slecht is voor de hele wereld behalve Google:
https://medium.com/@danbu...-for-the-web-e4d060a4ff31

gertvdijk @Bensimpel • 13 augustus 2019 19:48

Geen URL meer, alles via Google Search naar AMP...

Nachtmerrie.

WhatsappHack

Google

@gertvdijk • 13 augustus 2019 20:25

Google AMP is in mijn ogen echt de aids van het internet. Ik word er knettergek van en het is 100% nutteloos. De browser die ik op iOS heb gaat het binnenkort automatisch eruit slopen, kan niet wachten.

Ed Vertijsment @Bensimpel • 13 augustus 2019 20:35

whats next?

Ik denk als je het Google vraagt de complete browser UI weg zodat websites volledige “apps” worden, Google heeft hier al een zijspoor voor lopen genaamd “Progressive Web Apps” (PWA’s) welke al standalone kunnen draaien. Zodra websites apps zijn loopt Chrome OS niet meer achter qua aanbod en hebben ze daarmee een “volledig” en goedkoper alternatief voor reguliere desktop OS’en. Wat natuurlijk in meer gebruik en daarmee meer data, inkomsten en invloed resulteert.

Google wil dominantie, that’s next.

Verwijderd @Bensimpel • 13 augustus 2019 20:45

What's next heeft men al eerder aangegeven, uiteindelijk gaat ook het slotje weg en zie je alleen het domain. Een slotje, een groen slotje...het blijkt allemaal niets uit te maken omdat geen hond er naar kijkt.

Het wordt straks dus omgekeerd: het is veilig (althans de verbinding), zo niet, dan pas wordt iets aangegeven in de balk.

(TWIJG) 13 augustus 2019 19:46

Dit vind ik heel spijtig. Een EV-certificaat schept toch al wat meer vertrouwen dan een DC-variant en nu wordt dat verschil een stuk minder zichtbaar. De EV-certificaten zijn natuurlijk zelden ergens voor nodig, maar voor heel belangrijke dingen zoals bankzaken maakt het kans op een verkeerde website toch weer een beetje kleiner, dan moeten ze ook al gelijkaardige namen registreren in een land om mensen te "foppen", nu enkel een gelijkaardig websiteadres.

mutley69 13 augustus 2019 20:00

Men maakt door als dat verander het internet absoluut niet veiliger. Stop die verstopperspelletjes en de gebruiker gaat dan eindelijk zelf die controle kunnen waarnemen zoals het hoort.
Zoals het nu aan't lopen is - wordt jan met de pet gewoon knettergek van al dat gewijzig - en mocht het dan nog enig doel dienen, dan zou ik zeggen - doe maar (tot dat de bom valt zeker?).

JJ93 13 augustus 2019 20:09

Ik gebruik nu nog twee EV SSL certificaten. Ze verlopen beide over 5 maanden, dus na deze aanpassing. Toch maar eens kijken of ik terug ga naar LetsEncrypt als het grootste deel van mijn bezoekers de bedrijfsnaam niet meer te zien krijgen..

Vorige week moest ik via de Chrome flags https weer zichtbaar maken. Ben niet te spreken over deze veranderingen. Ik hou er van om de volledige url te zien.

En juist de prijs van een EV certificaat maakt ‘m betrouwbaarder. Plus de verificatie natuurlijk. Maar voornamelijk de prijs, al vind ik +- 99 euro per jaar niet duur voor een commercieel bedrijf. Bij een EV certificaat heb ik in ieder geval altijd het idee dat bedrijven hun zaakjes beter op orde hebben. Al is dat dus voornamelijk gevoel.

Edit: bij Safari op iOS werd trouwens eerder de bedrijfsnaam getoond, je moest klikken om de url te zien. Dat is een tijd geleden ook al veranderd.

[Reactie gewijzigd door JJ93 op 23 juli 2024 11:24]

jimshatt 13 augustus 2019 20:15

Waarom moeten beide browsers nou weer precies hetzelfde doen? Dat kan juist een onderscheidende feature zijn.

Transportman 13 augustus 2019 20:33

Ik kan de keuze wel begrijpen, het is nooit echt groot geworden, waardoor het voor de gemiddelde gebruiker ook onbekend is en misschien wel meer vragen oproept dan dat het dingen duidelijk maakt. Tel daarbij op dat mensen steeds meer op hun mobiel doen, waar schermruimte nou eenmaal iets schaarser is dan een normaal computerscherm en er dus eigenlijk nauwelijks ruimte is om de EV te tonen, dan is het misschien beter om te zeggen "we kappen ermee".

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (120)

Sorteer op:

Weergave: