Browsers wijzigen weergave en meldingen bij SSL certificaten

15 augustus 2019

Er gebeurt veel op het gebied van de weergave van HTTP en HTTPS door de verschillende browsers, die al langere tijd bezig zijn met het verbeteren van de herkenbaarheid van veilige websites en streven naar HTTPS als standaard. De afgelopen maanden zijn er weer een aantal wijzigingen aangekondigd.

Waarschuwingen bij HTTP worden ernstiger

Vanaf versie 70 gaat de veel gebruikte browser Mozilla Firefox alle webpagina's zonder HTTPS verbinding aanmerken als onveilig. Hiermee volgt de browser het voorbeeld van Google Chrome, die al sinds 2018 waarschuwt bij onbeveiligde verbindingen. Safari volgde in maart van dit jaar.

Firefox waarschuwt al langere tijd bij onbeveiligde invoervelden op websites, en toont dan een 'Not Secure' melding in de adresbalk. Omdat tegenwoordig zeker 80% van alle webpagina's een beveiligde HTTPS verbinding heeft, vindt Mozilla de tijd rijp voor een negatieve indicatie van HTTP, in plaats van een positieve indicatie van HTTPS. Daarom zal vanaf Firefox versie 70, die gepland is voor oktober dit jaar, iedere webpagina zonder SSL certificaat de 'Not Secure' melding krijgen in de adresbalk. Dezelfde melding wordt ook vertoond bij onbeveiligde FTP-verbindingen en certificaat-fouten.

Wijzigingen in de weergave van EV SSL

Chrome is al geruime tijd bezig met een omslag naar HTTPS als standaard en het vereenvoudigen van de weergave van domeinnamen. Zo wordt in de huidige versie (76) geen www of http/https meer getoond, en is de weergave van een EV SSL certificaat niet meer groen. Wel wordt de bedrijfsnaam direct getoond, wat bezoekers duidelijk maakt dat ze op de website van de juiste organisatie zitten.

Op 12 augustus hebben Mozilla en Google aangekondigd dat Firefox vanaf versie 70 (per 22 oktober) en Chrome vanaf versie 77 (per 10 september) de bedrijfsnaam en de landcode bij EV SSL niet meer tonen in de url-balk. De bedrijfsnaam wordt dan getoond in het ‘Page Info’ blok, dit is de pop-up die je direct te zien krijgt als je klikt op het slotje naast de domeinnaam in de url-balk. 

EV weergave in Chrome 77

EV weergave in Firefox 70

Waarom deze wijzigingen?

Het is evident dat deze wijziging een flinke impact heeft op EV SSL, en daardoor discussie oproept. De browsers geven als motivatie onder andere de vereenvoudiging van de SSL weergave en het uitgangspunt van HTTPS als standaard. Ook geven ze aan dat de huidige weergave te veel ruimte inneemt, en dat  bovendien uit onderzoek blijkt dat EV SSL te weinig invloed heeft op het gedrag van bezoekers.

Anderzijds stellen CA’s en andere partijen die belang hechten aan de authenticatie-waarde van SSL dat de aangekondigde aanpassing alleen maar meer verwarring onder gebruikers en daardoor onveilig gedrag zal veroorzaken. En ondanks dat het EV systeem op dit moment niet feilloos is, biedt het vele malen meer zekerheid dan certificaten zonder bedrijfsgegevens.

Heeft EV SSL nog wel meerwaarde?

Het gebruik van SSL voor phishing websites is de afgelopen tijd flink toegenomen. Hiervoor worden Domein Validatie (DV) certificaten zonder bedrijfsgegevens gebruikt, omdat het uitgifteproces daarvoor minder streng is en ze voordelig of zelfs gratis verkrijgbaar zijn. Door de strenge controle voor uitgifte van een EV certificaat, verkleint het de kans op phishing websites aanzienlijk.

De opvallende uiterlijke kenmerken van EV, de bedrijfsnaam in het groen, vervallen binnenkort. Maar hoewel minder zichtbaar, heeft een EV certificaat vanwege de strenge validatie nog steeds meerwaarde door het bieden van een betere identiteit garantie. En twijfelt een bezoeker aan de echtheid van een website? Dan kan hij met één muisklik op het slotje de identiteit van de website eigenaar controleren. Iets wat door de flinke toename van misbruik van domein validatie certificaten voor phishing doeleinden alleen maar belangrijker wordt.

De bedrijfsnaam wordt bij EV getoond door te klikken op het slotje, in de Page-Info pop-up. Er staat dan bij: 'Issued  to: Company.' Een Organisatie Validatie (OV) certificaat toont deze 'Issued to' niet, de bedrijfsnaam wordt dan pas getoond als je certificaat zelf opent, en een DV certificaat bevat helemaal geen bedrijfsgegevens.

Om zich sterk te maken voor het belang van certificaten met bedrijfsgegevens, en het verbeteren van het EV SSL proces hebben een aantal CA’s in juni 2018 het London Protocol opgericht. Ze streven naar een eenduidige weergave van EV door alle browsers en meer focus op de security bewustwording bij gebruikers. De ontwikkelingen op dit gebied blijven dus niet stil staan en zijn ook niet definitief.