Chứng chỉ cao cấp EV SSL vốn được các doanh nghiệp tin tưởng lựa chọn với kiểu hiển thị tên công ty trên thanh địa chỉ trình duyệt nhìn rất ngầu, sao lại bảo đừng mua phí tiền?
Chứng chỉ EV SSL (Extend Validated SSL) là chứng chỉ cao cấp nhất dành cho các đối tượng là doanh nghiệp hoặc tổ chức được cấp phép hoạt động. Điều này có nghĩa là EV SSL không thể cấp cho cá nhân hay bất kỳ một pháp nhân nào không được cấp phép bởi cơ quan có thẩm quyền trong nước sở tại.
Từ trước tới nay, mình tin tưởng rằng những khách hàng đăng ký sử dụng EV SSL phần lớn bởi vì website sử dụng chứng chỉ này sẽ được các trình duyệt hiển thị thêm tên công ty trên thanh địa chỉ rất nổi bật. Khách hàng truy cập website thấy cái này sẽ nghĩ rằng công ty này uy tín, mức độ tin tưởng cao hơn.
Tuy nhiên, điều này sẽ không còn đúng trong tương lai nữa. Thậm chí ngay từ thời điểm hiện tại chứng chỉ EV SSL đã không còn phát huy được thế mạnh của nó nữa rồi.
Cách đây khoảng 1 năm, tên doanh nghiệp đã không còn xuất hiện trên trình duyệt Safari trên iOS, kể từ phiên bản macOS Mojave, Safari cũng đã làm điều tương tự.
Có thể bạn nghĩ đây mới chỉ là hành động đơn phương của Apple mà thôi, chưa ảnh hưởng gì nhiều lắm khi mà trình duyệt Chrome vẫn đang thống trị Internet. Vậy thì hãy đọc thông báo chính thức gần đây của Google và Mozilla, coi như đã đặt dấu chấm hết cho chứng chỉ EV SSL rồi nhé.
On HTTPS websites using EV certificates, Chrome currently displays an EV badge to the left of the URL bar. Starting in Version 77, Chrome will move this UI to Page Info, which is accessed by clicking the lock icon.
Và đây là của Mozilla:
In desktop Firefox 70, we intend to remove Extended Validation (EV) indicators from the identity block (the left hand side of the URL bar which is used to display security / privacy information).
Chrome 77 dự kiến ra mắt vào ngày 10 tháng 09, còn Firefox 70 vào ngày 22 tháng 10. Như vậy chỉ còn vài tuần nữa thôi là chúng ta sẽ không còn thấy được sự khác nhau rõ ràng giữa các chứng chỉ SSL, tất cả giờ chỉ là một biểu tượng ổ khóa màu xanh đồng nhất mà thôi.
Dĩ nhiên thông tin chi tiết loại chứng chỉ, tên doanh nghiệp vẫn hiển thị khi nhấn vào biểu tượng ổ khóa, nhưng chẳng ai click vào đó làm gì, ngoại trừ bạn và tôi?
Theo thông tin mình tìm hiểu được, không phải tự nhiên mà các trình duyệt, đầu tiên là của Apple, sau đó đến Google và Mozilla thống nhất việc hiển thị chứng chỉ SSL, tất cả đều có nguyên nhân của nó.
Trong thông báo của đội Chrome Security UX, website sử dụng EV SSL không bảo vệ người dùng tốt như mọi người tưởng, thậm chí chứng chỉ EV SSL còn có thể được lợi dụng làm giả để lừa đảo. Như hình ảnh ví dụ được test dưới đây:
Apple cách đây 1 năm nói rằng, tên doanh nghiệp hiển thị trên thanh địa chỉ trình duyệt không có ý nghĩa gì khi tên miền đã làm tốt vai trò của nó rồi. Vậy thì bỏ đi thôi.
Apple said that this changes was based on research and customer input. “Org name is not tied to users intended destination the same way that the domain name is”
Vậy giờ sao? EV SSL vừa đắt, đăng ký verify phức tạp mà chẳng có tác dụng gì khác biệt thì anh em còn đăng ký làm gì nữa không?
Porkbun
Namecheap
Dynadot
Cloudflare
NameBright
OVHcloud
NameSilo
Mình toàn sài free ssl. Mỗi tháng là phải phải gia hạn 1 lần
Admin nói vậy thì admin chưa hiểu EV SSL có tác dụng gì rồi.
Ngoài việc bật cái khóa xanh, hiển thị tên doanh nghiệp, tổ chức.. thì thứ quan trọng nhất nó cung cấp mà Lets Enscrypt không có và không bao giờ có. Đó là phí bảo hiểm giao dịch.
Tùy gói doanh nghiệp lựa chọn, mà phí bảo hiểm từ 10.000$ đến vài triệu $.
“$1.00m warranty help with users’ peace of mind.”
Đó là thứ mà SSL free không thể cung cấp cho người dùng được admin nhé!
Vấn đề là chỗ làm thế nào để nhận được mức bảo hiểm này, quy trình ra sao, có những yêu cầu cụ thể như thế nào?
Cá nhân mình nghĩ khó mà nhận được cái bảo hiểm này, nên thú thật cũng bỏ qua không tìm hiểu.
Xin chào các bạn.
Mình có website thanh toán trực tuyến bằng visa, paypal, thì nên dùng ssl nào an toàn nhĩ?
Thank mn.
Hi Thịnh,
An toàn có 3 vấn đề là config máy chủ, 2 code security và ssl là một phần. An toàn thì mua gói dành cho website thương mại điện tử, doanh nghiệp. Tùy theo mức độ hoạt động mà chọn gói cho phù hợp. Nếu hoạt động thương mại điện tử & doanh nghiệp thì nên mua. Vì nó có phí bảo hiểm. như gói EV Multi-Domain SSL thì giá trị bảo hiểm là một triệu $, bù lại phí mua nó là 142.99$.
Muốn có bảo hiểm hãy mua nó.
Có phí Comodo 200k được rồi bác. Bài viết trên viết thì cũng hiểu rồi
Tôi thấy vậy không an toàn cho mấy, tại vì các tên miền có thể mạo hoặc tạo gần giống rất dễ dàng.
Nói thật là dùng ssl bình thường mã hóa khi trao đổi data là thấy ok rồi
Good new, đỡ tốn tiền cạnh tranh
Mình toàn đi qua cloudflare xài ké luôn ssl của ẻm
Không khác gì hàng có phí bác nhỉ?
Nhìn vẫn sang hơn Let’s Encrypt
Đúng rồi bác, tận dụng thôi, trừ khi làm doanh nghiệp lớn, sợ bị tấn công, mua SSL có bảo hiểm mà nghe như admin nói cũng hiếm trường hợp bảo hiểm, nên thôi nhỏ bé vừa vẫn cứ free cho tiết kiệm chi phí, chi phí đó để nâng vps/host mạnh hơn mà chiến cho tẹt ga
Em thấy Let’s Encrypt sang hơn chứ, mở ra xem thấy nó issue cho tên miền của mình, trong khi dùng CloudFlare thì nó issue cho tên miền của nó
Các SSL không có khác nhau nhiều vậy thì mình mua loại rẻ vậy
SSL của gogetssl có hơn 4$
ko khác biệt thì thôi dùng cái Let cũng dc
cái chứng chỉ này đắt
Chời đựu, em đang tính mua các bác ạ @@
tí nữa thì ăn cám, mất tiền oan :3
Nếu nó bỏ chắc cũng hoàn tiền lại đấy nhỉ
EV và Nor để phân loại đâu là person và company, EV setup quá đơn giản chả có gì khó như thớt nói trong bài viết, có lẽ vì EV giá quá cao nên muốn hạ bệ loại bỏ EV đây mà, còn về bảo mật thì thì EV luôn hơn Nor chứ, mà cho dù có encrypt cỡ nào đi nữa vẫn hack được nếu người ta đã muốn. Các công ty tui làm đều xài EV, (Mỗi lần đăng ký EV là đút túi được mớ tiền, giờ loại bỏ EV thì IT Manager Việt nói riêng và… Read more »
Mấy nhà cung cấp SSL sẽ thổ huyết vì mất một lượng lớn tiền
Các vụ lừa đảo sẽ tăng vì EV ko hiển thị sẽ như nhau hết càng khó phân biệt
đây cũng được xem là phá sản :3
“nhưng chẳng ai click vào đó làm gì, ngoại trừ bạn và tôi”
Thích nhất câu này, vì chỉ có bạn & tôi click, người thường ai mà click làm gì 😉
Với mình thì không. Có khi nó lại thành miễn phí thì hay.
EV làm loạn thanh address, theo mình nên bỏ ev luôn để thống nhất 1 kiểu hiển thị, chính vì nó mà có web thì hiện tên, có web thì hiện domain.
có lẽ là do hên xui chăng :3
thôi cứ LET mà tiến lên thôi
Let vẫn là sự lựa chọn tốt
Vẫn trung thành với anh LE thôi
Lâu quá mới thấy CM có bài hay thế này
Cảm ơn Canhme đã có thông tin kịp thời cho anh em
Hehe, LE muôn năm.
Khá gắt :3