Wersje: 77 Chrome i 70 Firefox przyniosą zmiany w wyświetlaniu certyfikatów SSL, w szczególności w wersji EV, czyli z rozszerzoną weryfikacją. Nazwa firmy, która dotychczas pojawiała się na pasku adresu, zostanie przeniesiona do informacji o stronie. Czy decyzja Google i Mozilli okaże się problemem dla właścicieli banków, dużych sklepów internetowych i serwisów przetwarzających wrażliwe dane, które decydowały się na zabezpieczenie stron certyfikatem EV?

Zmiany w wyświetlaniu certyfikatu EV w przeglądarce Chrome
Zmiany w wyświetlaniu certyfikatu EV w przeglądarce Mozilla Firefox

Gdzie będzie widoczna nazwa firmy?

Wskaźnik EV zostanie przeniesiony z paska adresu do informacji o stronie. Otworzenie tej sekcji możliwe jest po kliknięciu w ikonę kłódki znajdującej się obok adresu witryny. Nazwa firmy pojawi się pod informacją o tym, że połączenie na stronie jest bezpieczne. 

Wyświetlanie informacji o stronie w przeglądarce Chrome
Wyświetlanie informacji o stronie w przeglądarce Firefox

Zmiany w przeglądarkach

Wyświetlanie nazwy w pasku adresu było możliwe dzięki przejściu wymagającej procedury, w której wystawca certyfikatu weryfikował prawa firmy do określonej domeny oraz jej fizyczne istnienie. Obecność nazwy firmy w stałym elemencie przeglądarki, jaką jest pasek adresu, pozwalała użytkownikowi w łatwy sposób zweryfikować, komu zostawia dane.

Twórcy przeglądarek stopniowo ograniczali wyświetlanie wskaźnika EV (czyli pola, w którym pojawia się nazwa firmy w pasku adresu). Początkowo zrezygnowano z niego w przeglądarkach na urządzeniach mobilnych. W ubiegłym roku nazwa firmy nie pojawiała się już w Safari. Wprowadzenie zmian przez Google i Mozillę planowane jest już niedługo: Chrome w wersji 77 ma zostać upubliczniony 10 września, natomiast Firefox 70 – 22 października. Jedyną popularną przeglądarką, która jeszcze nie wycofała się z wyświetlania tej informacji jest Edge, ale jest to prawdopodobnie kwestia czasu. 

Skąd taka decyzja?

Twórcy przeglądarek powołują się na 4 argumenty przemawiające za usunięciem nazwy firmy z paska adresu:

  • według przeprowadzonych przez Google badań, internauci wpisując wrażliwe dane nie zwracają uwagi na rodzaj certyfikatu, którym zabezpieczona jest strona, nie trzeba więc publikować takiej informacji,
  • wskaźnik EV zajmuje dużo przestrzeni na ekranie, a w przypadku długich nazw firm, zajmował on znaczną część paska adresu,
  • wyświetlanie nazwy mogło wprowadzać użytkowników w błąd, ponieważ certyfikat mógł zostać wydany na firmę, która ma identyczną nazwę i podszywa się pod znaną markę (usunięcie nazwy firmy ma być sygnałem dla internautów, żeby zwracali większą uwagę na adres strony),
  • informacja o bezpiecznych stronach ma być wyświetlana jako neutralna (skoro jest to standard w Internecie). Z tego powodu witryny zabezpieczone certyfikatem EV nie powinny być uprzywilejowane w zakresie prezentacji tej informacji.

Czy certyfikaty są nadal ważne?

Wszystkie kupione lub odnowione certyfikaty EV są ważne do czasu wygaśnięcia. Poza sposobem ich wyświetlania w przeglądarkach nic nie uległo zmianie. 

Różnice w wyświetlaniu certyfikatów EV, OV i DV

Zmiana miejsca umieszczenia nazwy firmy nie wpłynęła na fakt, że tę informację wciąż najłatwiej znaleźć w certyfikacie EV.  W przypadku tego zabezpieczenia nazwa podmiotu widoczna jest już po kliknięciu kłódki, czyli informacji o stronie. 

Nazwa firmy w certyfikacie EV

W certyfikacie OV (Organization validation) nazwę firmy można odnaleźć otwierając informacje o stronie (ikonka kłódki), a następnie klikając w “Certyfikat”. W metryce certyfikatu pokażą się najważniejsze dane, a w części “Szczegóły” – informacje o podmiocie.

Wyświetlanie nazwy firmy w certyfikacie OV

W certyfikatach o podstawowej weryfikacji (DV) firma nie jest weryfikowana przez podmiot certyfikujący, dlatego jej nazwa nie pojawia się ani w informacjach o stronie, ani w szczegółach certyfikatu.

W certyfikacie DV nazwa firmy nie występuje

Czy warto kupować certyfikaty EV?

Choć twórcy przeglądarek wycofali się z wyświetlania nazwy firmy w pasku adresu, certyfikaty EV dają wciąż największe zapewnienie bezpieczeństwa ze względu na zaawansowany sposób weryfikacji abonenta domeny. Jeśli zależy Ci na maksymalnym zabezpieczeniu danych klientów i wysokiej gwarancji ze strony wystawcy certyfikatu, nie powinieneś rezygnować z zabezpieczenia w wersji EV.

Powody, które przytoczyli twórcy przeglądarek odnośnie do usunięcia nazwy firmy z paska adresu, mogą częściowo posłużyć jako argumenty za kontynuacją ochrony certyfikatami EV:

  • skoro użytkownicy nie zwracają uwagi na sposób zabezpieczenia strony (a jedynie na fakt, czy jest zabezpieczona certyfikatem, czy nie), to usunięcie nazwy z paska adresu nie powinno spowodować zmniejszenia liczby klientów,
  • jeśli zwrócenie większej uwagi na adres strony zamiast na nazwę firmy rzeczywiście podniesienie bezpieczeństwo użytkowników i ograniczy podszywanie się hakerów pod firmy, to w rozrachunku przyniesie to też korzyść tym firmom,
  • unifikacja wyświetlania zabezpieczeń zapewni, że konkurenci również nie będą się wyróżniać w przeglądarkach. 

Kłódki pozostaną, ale już nie zielone. Zniknie też wyświetlanie protokołu

Aktualizacja wersji przeglądarek przyniesie również zmiany w sposobie wyświetlania kłódek, które są symbolem strony zabezpieczonej certyfikatem. Kolor zielony zostanie zastąpiony mało wyróżniającym się szarym. Będzie to posunięcie zgodne z intencjami Google i Mozilli, by pokazywać zabezpieczone witryny w neutralny sposób.

Z najnowszej wersji Chrome’a zostanie również usunięte wyświetlanie protokołu (http lub https). W pasku adresu przeglądarki pozostanie wyłącznie nazwa domeny (z poprzedzającym ją www lub bez). Obok adresów bezpiecznych stron, które korzystały z szyfrowanego protokołu TLS (https) znajdzie się kłódka, a w przypadku serwisów opartych o http – oznaczenie “Niezabezpieczona”.

Zabezpieczona strona
Strona niechroniona protokołem TLS

Pełny adres strony, razem z protokołem, można sprawdzić klikając na niego dwukrotnie w pasku adresu przeglądarki.

Certyfikaty SSL po zmianach wyświetlania w przeglądarkach – podsumowanie

Wprowadzenie wersji 77 przeglądarki Chrome i 70 Firefox zmieni sposób wyświetlania certyfikatów SSL. Największą różnicę zauważą właściciele firm, których strony były chronione certyfikatami EV (z rozszerzoną weryfikacją). Nazwa przedsiębiorstwa, która do tej pory pojawiała się w specjalnym polu w pasku adresu, zostanie przeniesiona do sekcji z informacjami o stronie. Nie będzie ona już tak widoczna, jednak użytkownik łatwo znajdzie dane właściciela serwisu po kliknięciu w ikonkę kłódki, znajdującą się obok adresu witryny.

Mimo planowanych zmian wyświetlania w przeglądarkach, certyfikaty EV to wciąż pełnowartościowe produkty, które dają najwyższą gwarancję zabezpieczania danych klientów. Wszystkie kupione i odnowione certyfikaty zachowują swoją ważność do czasu wygaśnięcia.

Zmianie ulegnie także sposób wyświetlania kłódek, świadczących o chronieniu strony certyfikatem SSL. Zielony kolor symbolu zostanie zastąpiony niewyróżniającym się szarym. Usunięcie nazwy firmy z paska adresu oraz zmiana barwy kłódki są kolejnymi posunięciami, które wprowadza Google i Mozilla, by wyświetlać bezpieczne strony w sposób możliwie neutralny.

Komentarze