Chrome ve Firefox'un Genişletilmiş Doğrulama (EV) göstergelerinin yerini değiştirdiği haberi çıktıktan sonra, kullanıcılar buna değer olup olmadığını sorgulamaya başladı.

Genişletilmiş Doğrulama Sertifikaları Nereye Gitti?

Yeni Chrome 77 sürümünde, EV rozeti, URL çubuğundaki kilit simgesine tıklanarak erişilen "Sayfa Bilgileri" altında görüntülenecektir. Web tarayıcıları SSL güvenlik göstergelerinin yerini değiştiriyor olsa bile, Genişletilmiş Doğrulama sertifikaları günümüz dijital çağında her zamankinden daha önemli olduğunu kanıtlıyor. Bu yazıda size bunun nasıl ve neden olduğunu anlatacağız.

Chrome 77'de Genişletilmiş Doğrulama sertifikaları "Sayfa Bilgileri" altında görüntülenir

SSL Güvenlik Bilinci: Ödül Vs. Ceza

Genişletilmiş Doğrulama sertifikalarının önemini anlamak için öncelikle web tarayıcılarının bu değişiklikleri neden yaptığını anlamamız gerekir. Google ve diğer tarayıcılar, stratejilerini ödülden cezalandırmaya çeviriyor. Gelişmiş arama sıralaması, artan güven, dönüşümler ve daha fazlası dahil olmak üzere bariz olumlu ödüller için SSL şifrelemesini uygulamak için web sitesi sahiplerine güvenmek yerine, olumsuz koşullandırmaya yöneliyorlar .

Tarayıcılar, SSL'ye sahip olmamanın olumsuz etkilerini uyarı işaretleri ve hata mesajları ile oynuyorlar. Ayrıca, kullanıcıları güvenli olmayan web sitelerini ziyaret etmekten caydırmak için başka korkutma taktikleri kullanıyorlar. Bu nedenle, olumlu göstergeleri kaldırarak ve olumsuzu ikiye katlayarak, sahipleri SSL'yi uygulamaya almaları için korkutmayı umuyorlar .

Kullanıcılar Genişletilmiş Doğrulama Sertifikalarını Önemsiyor mu?

Artık olumlu göstergeleri neden kaldırdıklarını bildiğimize göre, bunun kullanıcıları nasıl etkileyeceğine bakmamız gerekiyor. URL'deki Genişletilmiş Doğrulama sertifikalarının işaretlerini kaldırmak için bir argüman, bunun bir fark yaratmamasıdır.  

"Kullanıcı arayüzü değiştirildiğinde veya kaldırıldığında kullanıcıların güvenli seçimler (şifre veya kredi kartı bilgilerini girmeme gibi) yapmadığı görülüyor" - Chrome duyurusu

Argüman, kullanıcıların belirli güvenlik göstergelerini gördüklerinde niyetlerini değiştirmemeleridir. Örneğin, bir kilit, yeşil adres çubuğu veya URL çubuğundaki bir varlık adı. Aynı şekilde, davranışları da bu belirtilerin yokluğunda farklı olmayacak . Durum böyle olduğundan, tarayıcının kullanıcı arayüzünde güvenlik göstergelerini tutmanın bir amacı yoktur. Bu nedenle, Genişletilmiş Doğrulama sertifikalarının varlık adının “Sayfa Bilgisi” olarak yeniden konumlandırılmasına karar verilir.

Resim Kaynağı: deskmodder.de

Kullanıcılar Umursamıyorsa Elbette İşletmelerin

Artık kullanıcıların Genişletilmiş Doğrulama sertifikalarının görsel güvenlik göstergelerine erişmesi için ek bir tıklama gerektirse de, bunlar her zamankinden daha önemlidir. İşte bunun 5 nedeni:

1. Kimlik avı dolandırıcılığının yükselişi

İlk olarak, ücretsiz ve Alan Adı Onaylı (DV)  SSL güvenli web siteleri , siber saldırılar için yeni standart haline gelecektir. Ayrıca, herhangi bir eski SSL sertifikasını bir web sitesine eklemek, tarayıcılardaki olumsuz güvenlik göstergelerini kaldıracaktır, bu nedenle kimlik avcılarının ve dolandırıcıların yapacakları tam olarak budur. Ücretsiz veya temel bir DV SSL sertifikası ile planlarına biraz daha fazla para yatırmak veya çaba harcamak yeterlidir. Bu kadar yüksek bahisler söz konusu olduğunda ek çaba buna değer.

Ayrıca, yeni tarayıcı güncellemeleri,  kötü amaçlı bir web sitesi ile yasal bir işletme arasındaki farkı anlamayı zorlaştırıyor . Bu nedenle, şirketlerin dijital varlıklarını Extended Validation sertifikaları ile farklılaştırmaları her zamankinden daha önemli.

Örnek Olay: PayPal

Resim Kaynağı: PayPal

Kimlik avı filtrelerinin tümü olmasa da çoğu, geçerli şirketleri ve sitelerini kimlik avı sitelerine karşı tanımaya yardımcı olmak için EV sertifika bilgilerini kullanır. Örneğin Paypal, herkesten daha fazla sahtekarlığa sahiptir. Kimlik avı siteleri, pay-pal.com ve paypalverification.com gibi siber işgal edilmiş alan adları altında her zaman DV sertifikalarıyla oluşturulur ve güvence altına alınır . Kimlik avı tarayıcıları, doğru şirket ve site olduklarının onaylandığını görmek için Paypal'ın Genişletilmiş Doğrulama sertifikalarını kontrol edebilir.

2. Sorumluluk kullanıcılara geçer

İşletmeler, Genişletilmiş Doğrulama sertifikaları ile yalnızca en yüksek güvenlik seviyelerine yatırım yapacak kadar çok şey yapabilirler. Gerisi kullanıcılara bağlıdır ve tarayıcılar onlar için işi kolaylaştırmıyor. Aslında tarayıcılar, önemli SSL güvenlik göstergelerinin yerini değiştirerek kullanıcılar için işleri daha da zorlaştırıyor.

Giderek daha fazla sayıda saldırgan ücretsiz ve DV SSL çözümlerini benimsedikçe, kullanıcıların çevrimiçi güvende kalmak için gerekli önlemleri alması gerekecektir. Dahası, işletmeler olarak en yüksek güvenlik standartlarını sürdürme sorumluluğumuz var. Kullanıcıları, SSL'yi kontrol etmek için ekstra çaba göstermeleri için eğitmeli ve teşvik etmeliyiz. 

3. Genişletilmiş Doğrulama sertifikaları, işletmelerin araştırma (t) larını kapsamasına yardımcı olur

Argüman, Genişletilmiş Doğrulama sertifikalarının kullanıcı arayüzünün yeniden tasarımı nedeniyle alakalı veya gerekli olmadığı yönündeyse, farklı olmak için yalvarıyoruz. Tüm SSL'ler aynı değildir, ilk bakışta aynı göründükleri için de olmayacaklardır.

Genişletilmiş Doğrulama sertifikalarının diğer SSL seçeneklerinin sunamayacağı bir şey, daha yüksek garantiler ve sorumluluk korumalarıdır. Dolandırıcılar için hangi SSL'yi kullandıkları önemli olmayabilir. Ancak, önemli güvenlik gereksinimleri olan şirketler için bu farklı bir durumdur. Equifax'ın başına gelen gibi bir veri ihlalinden bahsettiğimizde , bu önemlidir. 76 gün süren ihlalin nedeni, 10 ay önce sona ermesine izin verdikleri bir belgedir ! Bir garanti kullanıcı hatasını kapsamasa da, aksi takdirde olaylarda korunacağınızı bilmek güzel.

Sectigo'dan taşıdıklarımız gibi Genişletilmiş Doğrulama sertifikaları, 10.000 $ ile 2M $ arasında değişen garantiler sunar. Bu,  şirketinizin ihtiyaçları için doğru SSL sertifikasını bulmanızı sağlar .

4. Daha fazla kontrol, görünürlük ve işlevsellik

Genişletilmiş Doğrulama sertifikaları, kuruluşlara etki alanları için verilen sertifikalar üzerinde daha fazla kontrol ve görünürlük sağlar. Bu özellikle satın alma sürecini ve sertifika yönetimini kolaylaştırırken güvenliği artırır.

Ortalama olarak, 50'den fazla etki alanına sahip portföyler için sertifika bulundurmak, yılda şaşırtıcı bir 250 saat anlamına gelir ! EV zamandan ve paradan tasarruf etmenize yardımcı olur.

5. Bazen Genişletilmiş Doğrulama sertifikaları gereklidir

GDPR , PCI, HIPPA, CCPA, FIPS vb. Dahil olmak üzere SSL gerektiren birçok uyum yasası ve çerçevesi vardır . Bunlardan bazıları (Avrupa Bankacılık Kurumu gibi), uyumluluk için Genişletilmiş Doğrulama sertifikalarını zorunlu kılar. Bunun, çevrimiçi bankacılık yoluyla insanların hayatlarını biriktiren bankalar ve finans kurumları için neden önemli bir endişe olduğunu anlayabilirsiniz. Bank alan adı gibi doğrulanmış alan uzantılarının bugün var olmasının nedenlerinden biri - çevrimiçi kullanıcılar için güvenliği artırmak.

Bu nedenle, kurumsal düzeyde faaliyet gösteren tüm sektörler ve şirketler için EV SSL sertifikalarını öneriyoruz