Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google en Mozilla stoppen met tonen bedrijfsnaam in url-balk van browser

Google en Mozilla zijn van plan om in komende versies van hun Chrome- en Firefox-browser de Extended Validation-certificaten van https-websites niet meer te tonen in de url-balk. Bij sites met zo'n certificaat staat de bedrijfsnaam tussen het slotje en de url.

Mozilla wil de verandering doorvoeren vanaf Firefox-versie 70, die in oktober uitkomt. Google haalt de Extended Validation-informatie uit de url-balk van Chrome vanaf versie 77 die in september verschijnt. Beide browsers blijven de informatie weergeven als gebruikers op het slotje klikken.

De Extended Validation-certificaten werden in 2007 ingevoerd en zijn bedoeld voor https-websites. Bedrijven kunnen bij een certificatenautoriteit tegen betaling een proces aanvragen om in aanmerking te komen voor zo'n certificaat. Na controle en goedkeuring wordt dan de bedrijfsnaam weergegeven. Dat moet het voor consumenten duidelijk maken wie de website beheert.

In Nederland gebruiken bijvoorbeeld banken en de overheid Extended Validation-certificaten. Zo is op de DigiD-website te zien dat het een website van Logius is. De certificaten zijn bedoeld om websitebezoekers meer zekerheid te geven over waar ze zich bevinden, maar volgens sommige experts heeft dat weinig nut. Zo stelde beveiligingsonderzoeker Troy Hunt vorig jaar dat veel mensen er niet op letten mede omdat de tien grootste websites wereldwijd dergelijke certificaten niet gebruiken. Bovendien zijn de certificaten duur en veel bedrijven en instanties zijn ook weer gestopt met het gebruik ervan, merkte beveiligingsonderzoeker Scott Helme vorig jaar op.

Apple stopte vorig jaar al met het weergeven van de informatie in de url-balk en ook in Edge is de bedrijfsnaam niet in de balk te zien. De versies van Chrome en Firefox voor smartphones laten de informatie ook niet zien.

De komende verandering in Firefox 70

Door Julian Huijbregts

Nieuwsredacteur

13-08-2019 • 19:35

120 Linkedin Google+

Submitter: vanbroup

Reacties (120)

Wijzig sortering
Bedrijfsnaam hoeft er van mij niet in, maar extra markering voor een EV certificaat kan ik toch wel waarderen. Het zegt toch iets over de aanvrager van een certificaat.

Ik snap dat de ruimte goed gebruikt kan worden maar een slotje met een + teken of iets dergelijks zou toch ook kunnen?
Nu moet je bij iedere site de info open klikken.
En dat zijn de momenten waarop bij mij alle alarmbellen af gaan. Als ik naar de site van mijn bank surf wil ik zien dat dat EV cert er staat met de juiste naam en niet dat ik via 1 of andere gare proxy ga die mijn verkeer onderscherpt.
Er zijn slimmere manieren om duidelijk te maken dat een site legitiem is. Ik denk bijvoorbeeld aan het tonen van een stukje informatie zodra je je gebruikersnaam ingevuld hebt, iets dat alleen de legitieme site kan weten.
Zodra een man-in-the-middle jouw gebruikersnaam weet kan hij deze doorsluizen naar de legitieme website. Die zal dan het stukje informatie waar jij het over hebt serveren, en de man-in-the-middle kan deze informatie op zijn eigen website tonen. Lijkt me geen werkend systeem.
Yahoo! deed het een tijdje, een persoonlijk plaatje tonen tijdens het inloggen, maar ik denk dat ze er vrij snel achter kwamen dat het niets toevoegt.
Het zou bijv kunnen als je ben ingelogd en dan welkom <naam>.
Dus je zou dan eerst op een website moeten inloggen om er achter te komen dat je op de verkeerde website je inloggegevens over de schutting hebt gegooid?

[Reactie gewijzigd door o.verhie op 14 augustus 2019 08:36]

Hmm... deze keus maakt dat een EV nu ongeveer net zoveel waard is als een Let's Encrypt-certificaat.
Dat moet het voor consumenten duidelijk maken wie de website beheert.
Daarom.

Bij sites van bijvoorbeeld banken en overheden zie ik de meerwaarde eigenlijk wel in. Ik controleer het zelf eigenlijk ook zelden, echter bij twijfel kijk ik er wel naar. Nu zie je op een goed gemaakte phishing site die https gebruikt eigenlijk geen verschil meer. Juist omdat een https certificaat zo eenvoudig te verkrijgen is, kan de gemiddelde crimineel dat ook op een phishing site of iets dergelijks zetten.

Ik kan me voorstellen dat enig direct zichtbaar onderscheid toch wel handig kan zijn. Bijvoorbeeld een plusje bij het slotje, of een groen slotje bij EV i.p.v. een grijs slotje (niet-EV).
Slechte ontwikkeling, ik ben ondertussen al jaar en dag bezig om mijn oude lui in te lichten dat ze niet zo zeer naar het slotje moeten kijken maar ook naar de bedrijfsnaam. Dit blijkt makkelijker voor ze te zijn dan de url te ontcijferen. Nu hebben ze dit eindelijk onder de knie en stoppen de browsers hiermee...
Technisch kan er dan wel geen verschil zitten, maar het geeft wel een verschil in de adresbalk als een nepsite beveiligd is met een dv certificaat, in plaats van een EV certificaat van de bank zelf. Als mensen weten dat ze er op moeten letten kan het faude voorkomen. Nu echter wordt vaak alleen maar gewezen op het "slotje" wat gemakkelijk verkregen kan worden.
Technisch kan er dan wel geen verschil zitten

Probleem is echter dat er wél een verschil in zit. Het groene kleurtje en de bedrijfsnaam is cosmetisch, maar de RFC spec zegt dat bij een EV certificaat men expliciete revocation checks moet doen. Met name Google Chrome doet haar uiterste best om het nooit te hoeven doen ivm performance, met al dan niet legitieme onderbouwing. Gevolg is dat bij een non-EV je doorgaans geheel geen revocation checks hebt, en bij EV altijd.

Nu de cosmetische indicatie verdwijnt zullen veel sites geen EV meer nemen, met als gevolg verminderde revocation checks. De experts zijn verdeeld hoe erg dat is. Ikzelf vind het jammer.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Gamescom 2019

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True