爲何咱們須要代表身份：EV證書的價值

儘管備受爭議，擴展驗證證書仍擁有巨大的價值......

上週，一位以「我已經被攻破了嗎？」工具聞名的安全專家、教育家Troy Hunt，寫了一篇很長的專欄文章，論述擴展驗證（EV）證書的價值。

在這篇文章中，他對EV證書的價值以及用戶是否注意到EV證書提出了疑問。他得出結論：

「底線是，迄今爲止，EV證書的有效性徹底依賴於人們是否定可它們以及其實是否相應地改變本身的行爲。這是很難爭辯的···」

誠然，EV證書的確依賴於用戶對它們是否關注以及是否使用那些信息。但這就意味着EV證書沒有價值嗎？

在深刻探討這個問題前，讓咱們來看一看各類驗證的區別：

• 域驗證（DV）和擴展驗證（EV）是SSL證書的兩個主要類別。DV正如其名，只能肯定你的瀏覽器地址欄中顯示的域是該證書的全部者。這是使用一種自動化的技術手段實現的——如爲上述域建立一個單獨的DNS記錄。

• EV證書也一樣這麼作，但除此以外，它們還會確認網站是由一個合法創建的公司運營的。這是由證書頒發機構的工做人員在政府機構的官方數據庫和其餘可靠數據源的幫助下完成的。公司的名稱（以及公司是在哪一個國家註冊的）會在終端用戶的瀏覽器中顯示：

正如Troy所說，DV證書會告訴你「該鏈接是安全的」，而EV證書會告訴你「該鏈接是安全的，而且你知道你正在和誰對話」。

在互聯網上，知道你正在和誰對話是很是有價值的。花費在外面吃一頓正餐的錢，你就能夠建立一個網站並宣稱表明任何人（或任何事物），而不須要提供太多我的信息。

考慮到互聯網上虛假網站和釣魚網站的絕對數量，我認爲咱們全部人都會對如下觀點表示贊成：瞭解更多關於網站運營者的信息是有益的。

你的計算機並不真正瞭解它所訪問的網站的任何事情。它將會愉快地爲你展現你所訪問的任何主機名或IP地址的內容。

對你的瀏覽器來講，Paypal.com和FakePaypal.com只是兩個不一樣的地址而已。對於人來講，顯而易見的是，這兩個網站中有一個不是真正的Paypal網站（儘管在真正的釣魚網站中，差異不會如此明顯）。你的計算機只看到另外一個具備HTML、CSS、Javascript和其它能夠爲你顯示的文件的互聯網地址。

從技術視角來看，這正是你的瀏覽器須要作的事。儘管這每每不符合用戶的目的，由於這些用戶對鏈接到合法網站比對DNS和IP路由的技術奇蹟感興趣得多。

當咱們縱觀全局時，能夠看到谷歌的Chrome瀏覽器的設計也符合這一觀點：

咱們Chrome瀏覽器安全團隊建議，用戶代理（UA）逐步將他們的UX轉變爲將非安全來源顯示爲「確定非安全」。爲的是更清楚地向用戶顯示HTTP有多麼不安全。

T0（目前）：非安全來源未被標註

T1：非安全來源被標註爲可疑的

T2：非安全來源被標註爲非安全的

T3：安全來源未被標註

目前，咱們正處於該計劃的「T0」和「T1」兩個階段之間——今年晚些時候，Chrome瀏覽器會開始在更多的HTTP網頁上顯示「非安全」警告。

Chrome瀏覽器想要這樣作的緣由之一在於一臺計算機要肯定你的鏈接的安全性的難度到底有多大。

HTTPS只能保證你的數據被安全地發送到你鏈接的服務器。此後發生的事情就沒人知道了。

Cloudflare的靈活SSL在你和Cloudflare之間提供了一個安全鏈接，但並非從Cloudflare到原始服務器，它就是一個瀏覽器不瞭解你的數據在互聯網上所有行程的例子。

Chrome瀏覽器可能並不喜歡把確認你的鏈接是否安全做爲本身的責任。它只會在知道鏈接不安全時作出一些提示，由於這就是全部它可以作到的。

相對比較簡單的是判斷網站是否合法或你是否須要向網站提供我的信息或信用卡信息。有但願的是，咱們都知道那是由於一個網站使用HTTPS並不必定意味着你向它提供我的信息是個好主意。

這一決定所須要的信息比HTTPS所能提供的技術保證要多，因此這種判斷須要由用戶來作出。

但這並非說就沒有其餘機制來保護用戶。像谷歌安全瀏覽和微軟SmartScreen這樣的系統，對於保護用戶免受釣魚網站以及被報告受到惡意軟件感染的網站侵害來講，具備很是重要的價值。

然而，這些系統並不完美。它們有時候會花費超過一天的時間才能標識出一個網站，這意味着錯失了重要的時間窗口，在此期間不少用戶受到了侵害。這些系統也沒有被用來創建網站的身份，所以只能部分實現EV證書的目標。

Troy說，「EV證書是一種人爲控制的證書」，這是一個問題。但評估一家網站在現實世界中的身份和合法性並非咱們的瀏覽器適合作的事情。畢竟，從技術觀點來看，你的瀏覽器只是想讓你登陸到FakePaypal.com，由於它的確是一個真實的網站。

EV證書的價值是顯而易見的。它的價值就在於，它有能力比你的瀏覽器瞭解網站的更多信息，而瀏覽器只能經過鏈接到主機名、解析證書文件以及覈實加密密鑰來評估一個網站。

EV證書——以及全部與HTTPS相關的指標——能夠變得讓用戶更容易理解，在這一點上Troy也是對的。這個例子就是明證——在Chrome瀏覽器半近期從新設計以前，用戶識別和理解掛鎖圖標是很是困難的。一些用戶將它誤認爲是一個錢包。

但這並未消除對於網絡身份識別的須要或下降EV證書的價值。它只是意味着，咱們須要更好的解釋——這是當涉及到安全和通常的互聯網用戶時的共同主題。