Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google en Mozilla stoppen met tonen bedrijfsnaam in url-balk van browser

Google en Mozilla zijn van plan om in komende versies van hun Chrome- en Firefox-browser de Extended Validation-certificaten van https-websites niet meer te tonen in de url-balk. Bij sites met zo'n certificaat staat de bedrijfsnaam tussen het slotje en de url.

Mozilla wil de verandering doorvoeren vanaf Firefox-versie 70, die in oktober uitkomt. Google haalt de Extended Validation-informatie uit de url-balk van Chrome vanaf versie 77 die in september verschijnt. Beide browsers blijven de informatie weergeven als gebruikers op het slotje klikken.

De Extended Validation-certificaten werden in 2007 ingevoerd en zijn bedoeld voor https-websites. Bedrijven kunnen bij een certificatenautoriteit tegen betaling een proces aanvragen om in aanmerking te komen voor zo'n certificaat. Na controle en goedkeuring wordt dan de bedrijfsnaam weergegeven. Dat moet het voor consumenten duidelijk maken wie de website beheert.

In Nederland gebruiken bijvoorbeeld banken en de overheid Extended Validation-certificaten. Zo is op de DigiD-website te zien dat het een website van Logius is. De certificaten zijn bedoeld om websitebezoekers meer zekerheid te geven over waar ze zich bevinden, maar volgens sommige experts heeft dat weinig nut. Zo stelde beveiligingsonderzoeker Troy Hunt vorig jaar dat veel mensen er niet op letten mede omdat de tien grootste websites wereldwijd dergelijke certificaten niet gebruiken. Bovendien zijn de certificaten duur en veel bedrijven en instanties zijn ook weer gestopt met het gebruik ervan, merkte beveiligingsonderzoeker Scott Helme vorig jaar op.

Apple stopte vorig jaar al met het weergeven van de informatie in de url-balk en ook in Edge is de bedrijfsnaam niet in de balk te zien. De versies van Chrome en Firefox voor smartphones laten de informatie ook niet zien.

De komende verandering in Firefox 70

Door Julian Huijbregts

Nieuwsredacteur

13-08-2019 • 19:35

120 Linkedin Google+

Submitter: vanbroup

Reacties (120)

Wijzig sortering
Extreem slechte ontwikkeling, ik wil niet dat mensen onterecht gaan denken dat er een slotje op zit dus is mijnjng.nl een goede site waar je gerust op kan inloggen. Eerst had je de onderscheiding dat de echte bank het certificaat met de naam van de bank had en werdt door de EV providers gecontrolleerd of het wel pluis was. Als je dat niet meer als duidelijk afscheiding gaat hebben heeft het geen nut om een EV certificaat te kopen en wordt het phishen makkelijker.

Update: Waarom is mijn kritiek precies ongewenst of irrelevant? Wees gerust de link in mijn post resolved niet dat had ik van te voren gecontrolleerd. Hij dient als illustratie van een kleine URL wijziging die je snel over het hoofd ziet.

Mijn punt blijft dat je een slotje ziet op de phishing pagina en mensen dan onterecht denken dat het veilig is omdat in het verleden de verbinding veilig in plaats van versleuteld werdt genoemt. De groene balk met naam was juist het geen dat een EV van een lets encrypt onderschijd en met de EV controle die de cert providers doen kon je er van uit gaan dat ING B.V. niet zomaar op het cert van een phisher beland.

Wat maakt mijn betoog dan zo offtopic of ongewenst als dit een grote impact heeft bij gebruikers?

[Reactie gewijzigd door henk717 op 14 augustus 2019 02:37]

Wat ik in de meeste reacties mis is dat de veiligheid van een EV (of anderzijds OV of DV) ook de andere kant op werkt. Als de betreffende CA je certificaat lekt of onder jouw naam namens iemand anders een certificaat uitgeeft, ben je verzekerd tegen een fors bedrag. Dat kan in de miljoenen lopen. Bij LetsEncrypt wordt hooguit het “foute” certificaat op de revocation list gezet en als je geluk hebt krijg je excuses. Niet dat dat soort praktijken aan de orde van de dag zijn, maar het is wel zo ongeveer het USP van betaalde certificaten
Als het eerste gebeurt, de CA lekt jouw certificaat, dan heb je het zelf niet goed gedaan. De CA heeft namelijk alleen een CSR nodig en niet de private key.
Ik vind dit geen leuk nieuws, ik vind zoiets proffesioneel staan en wou zelf als ik een bedrijf later had ook zo'n EV SSL want dan weten mensen dat je echt bent, tegenwoordig kan iedere ramdebiel een SSL gratis aanvragen (Let's Enscrypt) dus elke illigale of ramsomware website heeft nu ook https, waardoor je niet meer ziet of de website betrouwbaar is of niet, een oudere persoon (65+ bijvoorbeeld) klikt echt niet op het slotje, als die er nog is tenminste of het EV ssl is.

[Reactie gewijzigd door mcpoesen op 14 augustus 2019 00:53]

dus elke illigale of ramsomware website heeft nu ook https, waardoor je niet meer ziet of de website betrouwbaar is of niet.
En daar ga je nu net fout SSL (TLS) is nooit gemaakt om betrouwbaarheid aan te geven van een site.
Het enigste dat een certificaat zegt/betekend: De verbinding met deze site is veilig.

Juist die visuele indicators (groen slotje, Veilig etc.) heeft mensen foutief aangeleerd dat het een veilige site is wat absoluut onzin is. Blij dat deze "misleiding" nu stopt.

Ook EV lost dit niet op, zie bijvoorbeeld;

https://www.thesslstore.com (hoezo als EV naam Rapid Web Services LLC)

Of onderstaande wat al een keer gelinked is boven mij.

https://arstechnica.com/i...-website-you-think-it-is/
Ik heb vaak genoeg gelezen in 'tutorials' over websites dat ze zeggen dat met ssl betrouwbare websites zijn, wat inderdaad onzin is.
Ik vind dit geen leuk nieuws, ik vind zoiets proffesioneel staan en wou zelf als ik een bedrijf later had ook zo'n EV SSL want dan weten mensen dat je echt bent, tegenwoordig kan iedere ramdebiel een SSL gratis aanvragen (Let's Enscrypt) dus elke illigale of ramsomware website heeft nu ook https, waardoor je niet meer ziet of de website betrouwbaar is of niet, een oudere persoon (65+ bijvoorbeeld) klikt echt niet op het slotje, als die er nog is tenminste of het EV ssl is.
Dit is precies wat er mis gaat. Mensen denken dat zo'n EV-certificaat iets zegt over de professionaliteit of de betrouwbaarheid van de aanbieder, maar dat is niet zo.

[Reactie gewijzigd door CAPSLOCK2000 op 14 augustus 2019 14:39]

Jawel want je komt niet zomaar aan een EV SSL, Moet je eerst een bedrijf hebben en word alles gecheckt want oplichters hebben geen bedrijf
Waarom zouden oplichters geen bedrijf kunnen hebben? Dat kost een paar tientjes per jaar en een half uurtje werk om je in te schrijven bij de KVK. Het EV-certificaat zelf is duurder.

Het is wel enige barriere tegen de goedkoopste oplichters, maar tegen een partij die er serieus werk van maakt helpt het niks. Daarbij worden certificaten ook nog wel eens gestolen. Een EV-certificaat is geen garantie dat de website waar je mee communiceert betrouwbaar is of goed met je gegevens om zal gaan.

Het is fractioneel beter dan een DV-certificaat, maar de meeste mensen hechten te veel waarde aan een EV.

Dat "alles wordt gecheckt" valt in praktijk vies tegen.
True, maar een bedrijf is best moeilijk zeker als de belastingdienst even komt kijken.
Tot nu had ik er nog nooit van gehoord, dus prima dat ze dit eruit slopen.
Een betere stap was geweest om het meer bekendheid te geven. Waarom altijd uitgaan van de mensen die het niet gebruiken ipv die het wel gebruiken?
Zelf gebruik ik een password manager. Als die de domeinnaam niet kent, worden ook mijn credentials niet ingevoerd. Persoonlijk heb ik liever dat op dit soort technieken meer wordt ingezet. Lijkt mij een stuk veiliger. Daarnaast snap ik eigenlijk niet waarom SSL client authenticatie niet meer ingezet worden. Als browsers er nou eens werk van gaan maken om dit simpel te maken. Een of ander OAuth achtige flow alleen dan via de browser, about:identity of zo, lijkt mij ook heel nuttig.

Goede registratie van de website/domein met bijbehorende credentials lijkt mij het halve werk tegen phishing.
Binnen enkele versies bevat Google Chrome enkel nog een "Ik doe een gok" knop :+

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Raspberry Pi 3

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True