本文主要讲述的是与DigiCert的Jeff Barto的一次谈话内容,主题是“绿色挂锁”和“信任指标的未来”。
今天我们将从哲学的角度探讨SSL/TLS行业面临的最大问题之一:“绿色挂锁”死了吗?
如果它还没有死,那它肯定即将死亡了了,因为人们都在谈论,既然互联网正在迁移到HTTPS上,那么就应该完全弃用它了。无可否认,它现在面临着无数的问题——其中最大的问题是对它最初的含义的误解。
幸运的是,我们邀请到了来自DigiCert的几名优秀人员,而我最终也有机会与DigiCert的信任福音传道者Jeff Barto就这个话题(以及其他一系列话题)进行了详细的交谈。
所以,今天我们要讨论的是绿色挂锁,它是否已经死亡,以及可以如何拯救它。
绿色挂锁存在的问题
几个星期前我们谈到49%的钓鱼网站现在都在使用HTTPS。尽管这本身就是一个引人注目的统计数据,但那篇文章中还包含了另一个有趣的信息,有助于我们更好地了解今天的讨论:80%的互联网用户不知道绿色挂锁的含义。
造成这一问题的最主要原因是缺乏标准化和教育。目前,有几种浏览器主导着市场:谷歌Chrome、微软Internet Explorer 和Edge、Mozilla、Firefox和苹果Safari——如果你想要显得仁慈的话,你也可以在其中加入Opera。这些浏览器及其移动变体都会显示绿色挂锁和其他信任指示器,但方式略有不同。
以下是各种浏览显示EV SSL证书的不同方式。
当然,EV有它自己独特的论点,但是这阐明了不同浏览器显示信任指示器的不同方式,而缺乏一致性是没有帮助的。
尽管许多人认为,整个信任生态系统正处于自由落体状态,但在这一点上,Jeff——公认为比我更乐观、更抱有希望——认为,它实际上对所有人都是开放的。
Jeff说到:“你让谷歌说什么是安全的,什么是不安全的,但与此同时,你又让每个浏览器自己决定安全看起来应当是什么样的。他们把产品提供给他们的客户,以提升他们的用户群。他们不会模仿别人,也不会互相模仿,除非这样做能让他们有机会从竞争对手那里窃取份额,而我认为这种方法是错误的。”
“绿色挂锁死了吗?”
如果浏览器最终消灭了绿色挂锁,那么谷歌最有可能做到这一点。它已经宣布将移除挂锁,以及在URL的开头的这个协议(https://),现在HTTPS将成为默认状态。
这意味着将失去两个潜在的有用的信任指标(从技术上来说是两个)。
Barto表示:“我认为我们——‘我们’指任何可能阅读这篇文章的人——的目光短浅给自身造成了伤害,因为我们限制了可获得信任的指标的数量。不要介意对它们的意义达成一致,更不用说它们的表示方法了。问题不在于挂锁,问题在于我们没有足够的信任指标,而就是这些信任指标能够为我们提供实际的选择。”
他说:“在这里,有一点很重要,那就是我们没有抓住要领,也可能错失良机。这不是挂锁之死,这是我们重新定义事物的机会。我认为挂锁是可以进行保留的,但这样做——更广泛的“我们”说这“不是我的工作”——的方式则有待商榷。是的,我们将自己限制在了5个信任指示器(挂锁、EV绿色条、https中的s、信任印章和新的安全评级),我们会说‘这个指示器不能再像以前那样工作了,所以让我们摒弃它吧’。如果你杀死了它们中的一个,你很快就会知道这是不是一件明智的事情,以及有多少人真的指望它。我有一种感觉,这将是我们会发现的——现在打开那扇猛然关上的大门可能已经太晚了。
但是,使其变成了一个魔鬼的代言人的是,绿色挂锁可能不再是必需的了,它所代表的概念现在应该是默认的了。以前,为了鼓励更多的网站转向HTTPS,你会看到SEO排名提升和积极的视觉指标。解释这些指标的工作做得很糟糕,但背后的目的却是很明确的。
HTTPS现在基本上是强制性的了,因此钟摆已经转向了另一个方向,那就是这些指标现在是负面的了。你的网站不会因为做了预期的事情而获得分数,而是会因为没有做而失去分数。
这也是谷歌背后不明智的安全/不安全指示器的逻辑,它创建了一个二进制文件,考虑到互联网用户将“安全”与“可靠”混为了一谈,这个二进制文件尤其令人困惑。
但是,在这次溃败中,Jeff看到了一线希望。
“他们显然愿意改变主意,”Jeff说。“他们之前改变了路线。比如,他们改变了你可以查看证书细节的路线,以及在URL中不显示‘www.’。他们在做最适合自己的事情,但他们也变得实际了,开始倾听用户的需求。
那么,我们如何拯救这把绿色挂锁?
从Jeff的角度来看,为了拯救这把绿色挂锁,以及改善总体上的信任指标,还需要做一些事情。最终需要建立一个全行业的联盟——一个利益相关者能够达成合理共识的联盟——然而,在此之前,让谷歌回到谈判桌上是至关重要的。
谷歌拥有巨大的市场份额。它的Chrome浏览器、安卓(Android)操作系统、搜索引擎和广告业务都在各自的市场处于领先地位。不幸的是,在互联网上,没有谷歌一切都是不可能的。
但我们是否以正确的方式展开了这场辩论?
Barto表示:“我认为有这样一种趋势——这完全是Jeff Barto的观点——即在这个行业中,我们在对待像浏览器这样的东西时会把事情个人化。我们会把谷歌的行动个人化。看,谷歌的首要任务是销售广告。他们所做的一切都是为了达到这个目的——而不是为了摧毁我们的市场。我不认为他们的目的只是为了摆脱挂锁那么简单,他们是为了使其广告销售工具尽可能富有成效才这样做的。很明显,如果他们愿意改变自己的立场,而这个立场又是他们想要坦率说出来的,那么他们就会与它们进行对话。”
而问题将是弄清楚与谷歌对话的价值主张实际上是什么。
“我认为谷歌愿意倾听,”Jeff说。“我不知道他们是不是想要所有的好点子都出自他们自己,但我认为他们正在错过一个机会。”
Jeff Barto
“但是,让谷歌参与对话并不能解决这个绿色挂锁的问题,它只是迈出了第一步。今后,行业的各个部分需要协同工作:证书机构(CA)、浏览器,以及——最重要的是——消费者。
Barto表示:“我是一个实用主义者和资本家,因此无论如何,都是消费者买单。除非我们是一个面向消费者的团体,否则我们只是在自言自语。”
“我个人认为,我们会落入同样的争论陷阱,试图迁就或安抚对方,并使自己对能够带来不同的事物丧失判断能力。互联网时代下,到处充满了威胁,这对那些需要盈利的企业构成了威胁,对那些只想拥有一种内在可信体验的消费者尤其构成威胁。我们越担心为自己的动机服务,就越不容易取悦那些能够真正带给我们金钱的人。”
但是,一旦我们能够让正确的各方进行对话,并弄清楚我们应该进行什么样的对话——这种合作应该很简单,对吧?
“假设有一种伙伴关系,可以用挂锁来把‘安全’和‘可靠’的含义讲清楚,或许我们就可以转向EV证书和签章,而这将为我们打开继续使用甚至尚未发明的信任指标的大门。但是随着DigiCert在CA领域的地位日渐突出,再加上几个志同道合的竞争对手,以及一个或两个主要的浏览器——微软似乎一直是这样看的,也许苹果也是这样——我们就可以成为 ‘安全’、‘可靠’和‘可信任’的真正含义的仲裁者。这就远远超出了‘它到底能不能加密?’的范畴。我认为我们错过了那么多机会,其中一个就是定义一个超出CAB Forum(论坛)——在这里,操作模式似乎是不起作用了,因为竞争对手没有把自己的需要放在次要位置,同时各个CA和浏览器也在急切地试图找出谁将获得更多的权力或优先级——正常范围的标准。
“这是把客户放在第一位从而就能创造不同的机会——而且这样做,还能获得一大笔钱。”
