Deze Extended Validation-certificated waren een subset van certificaten die verkeer van browser naar server en terug versleutelen. In tegenstelling tot gewone certificaten kunnen EV's enkel worden uitgegeven door een selecte groep aan certificaatautoriteiten. Om er eentje aan te schaffen, moet een bedrijf door een ingewikkeld proces om zijn juridische identiteit als eigenaar van het domein te valideren. Deze certificaten zijn ook duurder.

Speciale groene balk

Het idee van EV's was dat gebruikers erop konden vertrouwen dat ze op de site zaten die ze bedoelden te bezoeken, bijvoorbeeld zodat ze zagen dat webwereld.nl van uitgever IDG is en geen met malware gevulde kopie van een criminele partij. Browsers vonden dat een prima idee en sites met EV-certificaten werden vaak visueel benadrukt in de adresbalk. Zo was een domein vaak van een speciale groene balk. (Chrome stapte vorig jaar van zulke groene signalen af en draaide het hele idee om: zonder SSL werd het rood, mét SSL bleef de balk neutraal.)

Een EV-melding die benadrukt dat het een vertrouwd domein is.

Beide bedrijven zeggen nu dat EV's geen speciale aandacht verdienen van de browser. "Uit ons eigen onderzoek alsmede de uitkomsten van academisch onderzoek, heeft het Chrome Security UX-team geconcludeerd dat de EV UI gebruikers niet zo beschermt als werd bedoeld", schreef Google in documentatie online. "Gebruikers maken geen veiligere beslissingen (zoals het niet opgeven van wachtwoorden of creditcardinformatie) als de UI wordt aangepast of verwijderd, wat wel zo zou zijn als de EV UI effectieve bescherming bood." Daarnaast neemt de juridische entiteit van een domeinbezitter kostbare ruimte in beslag in de interface.

Chrome en Firefox

Aan het begin van deze week zei Mozilla iets soortgelijks. "De effectiviteit van EV is de laatste jaren meerdere malen in twijfel getrokken en men vraagt zich serieus af of gebruikers de aanwezigheid van positieve beveiligingsmeldingen wel opmerken, en proof-of-concepts hebben EV ingezet met domeinphishing", zei Firefox-ontwikkelaar Johann Hofmann in een bericht op het ontwikkelforum.

Chrome 77, die op de planning staat voor 10 september, verplaatst EV-informatie van de adresbalk naar de pop-up met pagina-info, die je te zien krijgt als je op het slotje drukt. Firefox doet hetzelfde op 22 oktober met versie 70. "We zijn voornemens om Extended Validation (EV) indicatoren te verwijderen uit het identity block (links van de url-balk waar beveiligings/privacy-informatie wordt weergegeven)", aldus Hoffman.

Safari, Edge en Opera

Andere browsers zijn de twee al voorgegaan met het verwijderen van de aparte EV-signalering. Apple's Safari deed dat vorig jaar al met versie 12, die werd meegeleverd met macOS Mojave (10.14). Safari maakt de adresbalk overigens nog wel steeds groen. Microsofts nieuwe op Chromium gebaseerde Edge heeft ook geen speciale indicator voor EV-certificaten.

Mobiele browsers hebben in de regel sowieso geen EV-extra's in de adresbalk, omdat de ruimte daar zo beperkt is. De paar die het het hadden - bijvoorbeeld Safari in iOS - hebben het verwijderd. Opera gebruikt ongeveer het systeem van Firefox met de bedrijfsnaam in het groen, ook al is deze browser bovenop dezelfde engine gebouwd als die van Chrome.

EV is dood

"EV is nou echt, echt dood", schreef beveiligingsprofessional Troy Hunt deze week in een post op zijn blog. "De beweringen die erover werden gedaan zijn inmiddels grondig ontkracht en het hele basisidee waar het op werd verkocht staat te verdwijnen." Hunt, die misschien vooral bekendstaat om zijn website Have I Been Pwned, schreef al over de ondergang van EV in september vorig jaar. "Het nut ervan is teruggegaan van 'nauwelijks aanwezig' tot 'zo goed als niet-bestaand'", zo schreef hij destijds op zijn blog.

Dinsdag verklaarde hij EV werkelijk een gedane zaak. "De tekenen waren er al een jaar, maar het doodsvonnis is nu met inkt op papier gezet nu Chrome en Firefox het helemaal vermoorden."