Vývoj zobrazování SSL certifikátů v prohlížečích

Jedním z aspektů používání internetu je zobrazení SSL certifikátů v prohlížeči. Z původně nezajímavého problému se postupem času stalo velké téma, které dnes zasahuje nejen do bezpečnosti, ale i do marketingu. Pojďme se podívat na to, jak se zobrazení certifikátu v prohlížeči vyvíjelo. Budete možná překvapeni, jak často se tento prvek mění a jak moc se odchýlil od původního záměru.

Počátky SSL certifikátů

Šifrování na webu pomocí SSL certifikátů má svůj počátek v 90. letech. Jedna z prvních certifikačních autorit – thawte – funguje od roku 1995 dodnes a těší se stále velké popularitě. Webové protokoly HTTP a HTTPS pro šifrovaný web nás (s nucenými modernizacemi) provází už 20 let.

Připojování k internetu nebylo pro tehdejší uživatele počítačů běžné a šifrování na webu bylo v takových případech výjimkou. Navíc do roku 2007 existovaly pouze 2 typy certifikátů – ty jednoduché bez informací o majiteli (doménové, DV) a certifikáty s ověřenými informacemi o vlastníkovi (certifikáty s ověřením organizace, OV). Prohlížeče si tak vystačily se symbolem zámku ve stavovém řádku (typicky Internet Explorer 7 a 8). Po nástupu jeho konkurentů se začala situace měnit a prohlížeče začaly na HTTPS více upozorňovat. Firefox v první verzi (2004) používal symbol zámku podobný Exploreru, ale později certifikáty zvýrazňoval modře.

Firefox ve své první verzi přejal zámek z Internet Exploreru a EV certifikáty tehdy ještě neznal

Chrome si v úplně první verzi (2009) se zobrazením certifikátu poradil podobně; jelikož však už znal EV certifikáty, mohl vypsat detail organizace.

Chrome v první verzi zobrazoval EV certifikát bez zeleného řádku, ale už ho podporoval

Příchod EV certifikátů

V roce 2007 uvedlo CAB forum (sdružení certifikačních autorit a výrobců certifikátů) nový typ certifikátu s rozšířeným ověřením. Jeho hlavním přínosem bylo zobrazení jména organizace vedle adresního řádku. Tento prvek je nazýván „EV Green Bar“ – tedy zelený řádek a dříve tak skutečně vypadal.

Tzv. EV Green Bar v Chrome přišel později; zde verze 10 z roku 2011

Ve starších verzích internet Exploreru byl celý adresní řádek webu s EV certifikátem zeleně podbarven. Tento velmi výrazný prvek byl bohužel výsadou prohlížeče od Microsoftu. Konkurenční prohlížeče nezobrazují celý podbarvený řádek, ale jen pole s názvem organizace vedle adresního řádku. Toto byla zřejmě ideální podoba zobrazení EV certifikátu.

Starší verze Internet Exploreru zobrazovaly EV jako skutečný zelený adresní řádek

V posledních letech sledujeme trend „odbarvování“ zeleného řádku, který zahájila Mozilla. Jejich „Green Bar“ postupem let blednul a neustále měnil barvu.

Srovnání EV Green Baru ve Firefoxu verze 3, 4 a 10

Nyní je EV Green Bar Firefoxu spíše bílý s velice jemným zeleným textem a pro uživatele rozhodně menším přínosem, než tomu bylo dříve. Chrome toto zobrazení převzal a původně zelený adresní řádek vypadá v obou prohlížečích prakticky stejně.

EV certifikát v současné verzi Firefoxu

Rozvoj mobilních zařízení

Po roce 2006, kdy byl uveden první iPhone, zažily smartphony a následně tablety obrovský rozmach. Dnes už na web chodí většina uživatelů z nějakého mobilního zařízení místo stolního PC (viz statistika).

Přítomnost SSL certifikátu na webu je v mobilních verzích prohlížečů symbolizovaná typicky černým zámkem. EV certifikát je potom zobrazen nikoliv jako zelený pruh nebo adresní řádek, ale jako název organizace se zeleným písmem.

Zobrazení EV certifikátu v iOS na iPhone

Mobilní zařízení si dnes poradí s certifikáty bez problému, stejně jako stolní počítače. Horší je zobrazení detailu certifikátu, protože musíte klepnout na ikonu zámku, což většinou žádá jistou šikovnost.

Revoluce Microsoftu s EDGE

Skutečnou revoluci – v nepříliš pozitivním smyslu – způsobil Microsoft se svým prohlížečem EDGE. V roce 2015 vydal následníka Internet Exploreru, který šokoval mimo jiné tím, že neumožňuje zobrazit detail SSL certifikátu na webu. Nemůžete se tedy podívat na jeho detail a aspekt autentizace pomocí údajů ověřených certifikační autoritou je narušen. Pouze u EV certifikátů s rozšířeným ověřením můžete vidět název organizace v zeleném pruhu.

Edge neumožní zobrazit detail certifikátu. Též opustil zeleně podbarvený řádek, který měl IE dříve

Zjednodušení bezpečnostních indikátorů

Koncem roku 2016 zveřejnil Google výsledky studie, která hledala ideální bezpečnostní symboly pro bezpečnostní varování v internetovém prohlížeči.

Výsledkem tohoto průzkumu je vytvoření třech nových symbolů, které mají vést k zjednodušení sdělení prohlížeče. Výzkum zjistil, že pro tyto symboly je důležitá ikona symbolizující význam a nikoliv barva. Ukázalo se, že uživatelům prohlížeče je jedno, zdali je varování červené, modré či černé; barva přímo nesouvisí s charakterem sdělení a červená není majoritně chápána jako varování.  Proto se Chrome zaměřuje hlavně na srozumitelný symbol a pro jednotlivé stavy zobrazuje jeden ze tří symbolů – zelený zámek, informativní „i“ a červený trojúhelník.

Nové bezpečnostní symboly, které nasadil Chrome na základě studie

Výsledky tohoto výzkumu hodlá převzít i Firefox, který má zatím stále symboly vlastní. Běžný certifikát je zobrazen zeleným zámkem a EV certifikát má název organizace zeleným písmem ve světlém poli.

Schovávání detailu certifikátu v rámci zjednodušování

V současnosti jsme svědky co největšího zjednodušování prohlížečů. Edge od Microsoftu si s certifikáty hlavu nelámal a udělal s nimi rychlý proces. Informace o certifikátu prostě nezjistíte. Google se zřejmě inspiroval a pravděpodobně je též názoru, že detaily certifikátu nejsou pro uživatele přínosem. Po kliknutí na zelený pruh nebo na ikonu zámku už tak detaily certifikátu nenajdete a musíte pro ně až do konzole přes klávesu F12.

Upozornění na chybu certifikátu zobrazuje jeho detail nepříliš komfortně.

Mozilla detail certifikátu zobrazuje, byť opět až na několik kliknutí. Pokud však nastane chyba zabezpečení (dostanete například nedůvěryhodný certifikát), tak opět dělá problémy v jeho zobrazení. Uživateli zobrazí certifikát v Base64, s čímž si samozřejmě většina neví rady.

Jak dál?

Zabezpečení je dnes skloňováno ve všech pádech a těší se rozhodně největší pozornosti. Dnes si snad každý uživatel internetu uvědomuje, že by měl své osobní a důvěrné informace chránit. Po deseti letech s EV certifikáty trh dospěl do stavu, kdy je začínají používat nejen banky a finanční instituce a kdy je jejich přínos z pohledu autentizace respektován a majitelé webů ho vidí jako přínos pro své návštěvníky.

Je tedy s podivem, že se výrobci prohlížečů po letech snahy naučit uživatele kontrolovat svou bezpečnost rozhodli odstraňovat detaily certifikátů. Jedním z důvodů může být budoucí rozvoj HTTP/2 a fakt, že certifikátem budou zabezpečeny všechny domény. I pak ale bude žádoucí v některých případech kontrolovat informace v certifikátu na webu a jeho původ. Zejména pokud jsou na trhu certifikáty zdarma (LE, Basic DV), které nejde vizuálně rozeznat od OV certifikátů s ověřením organizace.

Doufám, že si nastalé problémy výrobci prohlížečů uvědomí a vrátí se ke konzervativnímu designu. V opačném případě budeme muset detaily certifikátů na webu ověřovat pomocí OpenSSL, což není příliš uživatelsky přívětivé…