Kā instalēt SSL sertifikātu cPanel GoDaddy | 2018. gads

Vai kāds zina datus vai pētījumus no objektīva avota, kas parāda EV SSL sertifikātu ietekmi uz klientu rīcību? Man nav izdevies atrast šādus pētījumus. Ja EV SSL sertifikāts palielina pārdošanas apjomu interneta veikala priekšā pat par dažiem punktiem, es redzu vērtību.

Papildus datiem, kas vērsti uz EV SSL, var būt iespējams uzminēt klientu uzvedību, pamatojoties uz lietotāja mijiedarbību ar parastajiem SSL sertifikātiem. Vai lietotāji vispār zina par SSL drošību? Vai parastajam SSL ir kāda pierādīta ietekme uz interneta veikala priekšējo pārdošanu?

Ņemiet vērā, ka es nejautāju par labas šifrēšanas nepieciešamību, bet gan par potenciālo klientu uztvere drošība un uzticēšanās.

  • Es varu piedāvāt anekdotiskus pierādījumus?
  • @Farseeker Protams, kāpēc ne?

EV SSL ir mazliet scam. Tas būtībā ir joslas atbalsta risinājums fundamentālākai problēmai - uzticības ķēdes sadalījums SSL sertifikātu izsniegšanas regulējuma trūkuma dēļ. EV SSL sertifikāti būtībā ir paredzēti tam, lai darītu to, ko parastie SSL sertifikāti darīja pirms 10 gadiem: lai pārbaudītu, vai vietne ir tā, par kuru tā apgalvo. Tāpēc no saknes SI tika izveidota uzticības ķēde, lai pārliecinātos, ka jebkura vietne, kurai ir CA parakstīts SSL sertifikāts, atrodas līmenī.

Iemesls, kāpēc jūs maksājat CA gada maksu, nevis izveidojat bezmaksas pašparakstītu sertifikātu, ir tāpēc, ka jums ir nepieciešams kāds uzticības ķēdē, kas apliecina jūsu identitāti. Ja saknes CA ir uzticama un viņi garantē citu CA, kas savukārt garantē citu CA, kurš galvo par citu CA, kurš pēc tam garantē somebank.com, tad uzticības ķēde nodrošina, ka visi ir tādi, kādi viņi ir, un gala lietotājs zina, ka somebank.com patiešām pieder Some Bank.

Bet, lai tas darbotos, CA ir jāizpilda mājas darbs un jāizmanto zināma rīcības brīvība attiecībā uz to, par ko viņi galvo. Ja viņi sertificē citu CA, viņiem jāpārliecinās, vai CA ir uzticama. Ja viņi sertificē vietni, viņiem jāpārliecinās, ka tā nav pikšķerēšanas vietne, kas izvirza citu uzņēmumu. Tas ir tikai iemesls maksāt CA par parakstītu sertifikātu, jo pirms sertifikāta izsniegšanas viņiem ir jāpārliecinās, ka katra vietne pieder personai, par kuru viņi apgalvo piederību. Un viņiem ir paredzēts to pārbaudīt katru gadu.

EV SSL izveide būtībā atzīst, ka sākotnējā uzticības ķēde ir salauzta, ka tagad uzticības ķēdē ir CA, kas nolaidīgi izturas pret savu pienākumu. Tāpēc tagad mēs izveidosim jaunu vārdu uzticamiem sertifikātiem un padarīsim to par jauno standartu. Būtībā tas padara visus parastos parakstītos sertifikātus nevērtīgus, jo galalietotāji nevar ticēt, ka uzticamas SI parakstīts SSL sertifikāts patiesībā ir labāks par pašu parakstītu vai nezināmas firmas parakstītu.

Patiesais risinājums ir noteikt uzticības ķēdi un piespiest CA faktiski vetēt sertifikāta saņēmējus un darīt savu darbu. Ja CA neveic savu darbu, tā ir jānoņem no uzticības ķēdes. Šī atbildība būtu jāpieprasa visā ķēdē, lai sakņotu CA. Pretējā gadījumā mēs vienkārši iegūsim citu sertifikātu līmeni pēc 10 gadiem, kad komerciālā konkurence arī samazinās EV sertifikātu cenu / kvalitāti.

  • 1 Es atceros stīpas, kurām mums nācās lēkt, lai pierādītu, kas mēs bijām, kad ieguvām pirmo drošības sertifikātu no Thawte. Tad lietas mainījās. Patiesībā šķiet, ka esat iemaksājis depozītu Džo-Boba mobilajā bankā - pēdējos pāris sertifikātos, ko esmu nopircis. Nav uzdoti jautājumi, nav verifikācijas, nav nepieciešama notariāli apliecināta dokumentācija vai uzņēmējdarbības licence. EV SSL no Network Solutions varētu būt nedaudz vērts, bet nav pārbaudīts tādā mērā, kā Thawte to darīja. EV SSL no citiem pakalpojumu sniedzējiem? Tas ir tikai veids, kā iegūt vairāk naudas gadā.
  • "Patiesais risinājums ir noteikt uzticības ķēdi un piespiest CA faktiski veterinārārstēt savus sertifikāta saņēmējus un darīt savu darbu" tam ir paredzētas EV vadlīnijas! Šķiet, ka vēlaties uzlabot validācijas standartus, vienlaikus noraidot uzlabotus standartus.
  • 1 @mikemaccana Nē, tam vajadzētu būt pārskatītajām pamatprasībām. EV vadlīnijas izveido augstākās kvalitātes sertifikātu klasi, kas kalpo oriģinālo parakstīto sertifikātu lomai, un kurā netiek risināts jautājums par pamata prasību izpildes zaudēšanu. Kā EV sertifikātu ieviešana novērš parasto CA parakstīto sertifikātu sliktu revīziju? Vai ir stimuls iegādāties EV sertifikātus, ja pamatprasības tiek pilnveidotas un pienācīgi izpildītas?
  • Ja jums joprojām ir problēmas ar sekošanu, lūdzu, izlasiet Pītera Gūtmaņa komentāru par PKI-Me-Harder (72. lpp.): Cs.auckland.ac.nz/~pgut001/pubs/book.pdf
  • 1 @ Lèsemajesté piekrita, ka domēna validācija ir šausmīga, taču CA (pēc savas darbības) ir ieklīdusi stūrī: cilvēki cer, ka uzreiz varēs saņemt SSL sertifikātus lēti / bez maksas. Domēna validācijas noņemšana vai juridisku personu pareizas verifikācijas pievienošana DV prasībām izraisītu vēl vienu sašutumu. Es piekrītu, ka DV ir slikta validācija, un vainīga ir tikai CA, kas domēna validāciju padarīja par standarta veidu, kā iegūt SSL sertifikātu, taču diemžēl to cilvēki šobrīd sagaida.

Arī es nespēju atrast neatkarīgs pētījumi, kas parāda paaugstinātu uzticības uztveri, kas saistīta ar zaļo joslu.

Digicert publicēja balto grāmatu ar pompozu nosaukumu "Paplašinātās validācijas (EV) sertifikātu ietekme uz klientu uzticību", apgalvojot, ka par 59% vairāk lietotāju "teica, ka viņi, visticamāk, ievadīs savu informāciju" vietnē, kurā parādīts EV SSL sertifikāts, salīdzinot ar parasto. viens. Bet, ja jūs lasāt, kā pētījums tika veikts, tas ir smieklīgi:

Nesenajā pētījumā Tech-Ed 384 cilvēkiem mācīja, ka uzņēmumi, kuru tīmekļa vietnē ir EV SSL sertifikāti, iziet stingrāku validācijas procesu nekā uzņēmumi, kuriem ir standarta SSL sertifikāti. Viņi arī viņiem mācīja, ka vietnes, kas nodrošinātas ar EV SSL sertifikātiem, var noteikt pēc to zaļās joslas. Pēc pētījuma pabeigšanas Tech-Ed atrada sekojošo: [...]

Nav arī pieminēts, kas tieši "Tech-Ed" bija vēl 2007. gadā, kad, iespējams, veica pētījumu.

Verisign 2009. gadā publicēja balto grāmatu, atsaucoties uz vecāku demogrāfisko grupu lietotāju reklāmguvumu pieaugumu par 10%:

Japānas patēriņa preču uzņēmums Lion Corporation koncentrējas uz savu e-komercijas vietni vecāka gadagājuma cilvēkiem, kuri bieži vien iepērkas internetā, un ir īpaši noraizējušies par personiskās informācijas izpaušanu. Lai palīdzētu nomierināt viņu bailes, Lion pieņēma VeriSign® Extended Validation (EV) SSL sertifikātus, kas lietotājiem, kuri redzēja zaļo joslu, nodrošināja par 10% vairāk reklāmguvumu. *

* Jūsu uzņēmuma rezultāti var atšķirties. VeriSign, Inc. un tā meitasuzņēmumi nesniedz nekādas garantijas (tiešas, netiešas vai ar likumu noteiktas) attiecībā uz aprakstītajiem pakalpojumiem vai šeit ietverto informāciju.

Vikipēdijā nav minēti pētījumi par šo tēmu.

Šis raksts ir saistīts ar dažiem pētījumiem, kas to parāda nozīmītes un zīmogi (nevis EV serti) palielina konversijas likmi.

Drošības eksperts prof. Pīters Gūtmans paziņoja, ka jaunā sertifikātu klase atjauno CA peļņu, kas samazinājās konkurences dēļ, kas notika nozares emitentu vidū:

Tā saukto augstas pārliecības vai paplašinātās validācijas (EV) sertifikātu ieviešana, kas ļauj CA iekasēt par tiem vairāk nekā parastajiem, ir vienkārši gadījums, kad tiek noapaļots divreiz parastais aizdomās turamo skaits - iespējams, kāds būs pārsteigts par tas, bet ietekme uz pikšķerēšanu ir minimāla, jo tas nenovērš nevienu problēmu, ko pikšķerētāji izmanto. Patiešām, ciniķi teiks, ka tieši šī problēma, kas vispirms bija jāatrisina sertifikātiem un CA, un ka “augstas pārliecības” sertifikāti ir tikai veids, kā otro reizi iekasēt maksu par esošu pakalpojumu. Pirms dažiem gadiem sertifikāti joprojām maksā vairākus simtus dolāru, taču tagad, kad mainīgā sertifikātu cenu un kvalitātes pamatlīmenis ir pārcēlies uz vietu, kur tos var saņemt par 9,95 ASV dolāriem (vai pat par neko), lielajām komerciālajām CA ir nācies no jauna izgudrot definējot jaunu standartu un pārliecinot tirgu atgriezties pie vecajos labajos laikos samaksātajām cenām.

Šo déjà-vu-all-over-again pieeju var redzēt, pārbaudot Verisign sertifikātu prakses paziņojumu (CPS), dokumentu, kas regulē tā sertifikātu izsniegšanu. Drošības prasības EV sertifikātā 2008 CPS (izņemot nelielas atšķirības juridiskajos dokumentos, ko izmanto to izteikšanai) ir praktiski identiskas prasībām 3. klases sertifikātiem, kas uzskaitīti Verisign 1.0 versijas CPS no 1996. gada. EV sertifikāti vienkārši pagriež pulksteni uz pieeja, kas jau bija izgāzusies pirmo reizi, kad to izmēģināja 1996. gadā, atjaunojot mainīgo bāzes līniju un iekasējot 1996. gada cenas kā blakus efektu. Ir bijuši pat priekšlikumi par sava veida bīdāmo logu pieeju sertifikātu vērtībai, kurā, tā kā neizbēgama sacensība līdz apakšai pazemina izveidoto sertifikātu klašu faktisko vērtību, programmatūra tos uzskata par mazāk un mazāk efektīviem tos (piemēram, pārlūkprogrammās vairs netiktu rādīta piekaramā atslēga)

Lietotāji serverfault arī izskaidro, kāpēc SSL sertifikātu klases neko nedara un ir tikai mārketinga triks.

2016. gada atjauninājums

LetsEncrypt (kas nedara nevienu EV) ir plaši pieņemts (~ 2 000 000 sertifikātu 4 mēnešos):

Tās sertifikāts Qualys SSL servera testā iegūst gandrīz perfektu A vērtējumu:

Tie ir anekdotiski pierādījumi, nevis objektīvs pētījums vai avots, taču, ieviešot EV sertifikātu, mēs gandrīz nemanījām pārdošanas atšķirības. Bet tas galvenokārt notiek tāpēc, ka mēs bijām normāla B2B tirdzniecības vietne, nevis banka.

Tas nozīmē, ka jā, lietotāji zina, kas ir SSL, taču mums tas, šķiet, neko nemainīja. Mēs visu laiku vietni pārvaldījām SSL, un pēc tam nolēmām lietotāju tikai pārslēgt uz SSL pieteikšanās procesā (un paturēt viņu SSL), un mēs faktiski atklājām, ka trafika un pārdošanas apjomi ir palielinājušies (es nezinu kāpēc?)

Tas nozīmē, ka jūs esat iesitis naglu uz galvas - vismaz mums tas viss šķiet uzticības uztvere, nevis faktiskais datu šifrēšanas akts.

strādāja par jums: Charles Robertson | Vēlies ar mums sazināties?