Chứng chỉ EV SSL đã chết, anh em đừng mua phí tiền

Chứng chỉ cao cấp EV SSL vốn được các doanh nghiệp tin tưởng lựa chọn với kiểu hiển thị tên công ty  trên thanh địa chỉ trình duyệt nhìn rất ngầu, sao lại bảo đừng mua phí tiền?

Chứng chỉ EV SSL (Extend Validated SSL) là chứng chỉ cao cấp nhất dành cho các đối tượng là doanh nghiệp hoặc tổ chức được cấp phép hoạt động. Điều này có nghĩa là EV SSL không thể cấp cho cá nhân hay bất kỳ một pháp nhân nào không được cấp phép bởi cơ quan có thẩm quyền trong nước sở tại.

Từ trước tới nay, mình tin tưởng rằng những khách hàng đăng ký sử dụng EV SSL phần lớn bởi vì website sử dụng chứng chỉ này sẽ được các trình duyệt hiển thị thêm tên công ty trên thanh địa chỉ rất nổi bật. Khách hàng truy cập website thấy cái này sẽ nghĩ rằng công ty này uy tín, mức độ tin tưởng cao hơn.

Tuy nhiên, điều này sẽ không còn đúng trong tương lai nữa. Thậm chí ngay từ thời điểm hiện tại chứng chỉ EV SSL đã không còn phát huy được thế mạnh của nó nữa rồi.

Cách đây khoảng 1 năm, tên doanh nghiệp đã không còn xuất hiện trên trình duyệt Safari trên iOS, kể từ phiên bản macOS Mojave, Safari cũng đã làm điều tương tự.

Có thể bạn nghĩ đây mới chỉ là hành động đơn phương của Apple mà thôi, chưa ảnh hưởng gì nhiều lắm khi mà trình duyệt Chrome vẫn đang thống trị Internet. Vậy thì hãy đọc thông báo chính thức gần đây của Google và Mozilla, coi như đã đặt dấu chấm hết cho chứng chỉ EV SSL rồi nhé.

On HTTPS websites using EV certificates, Chrome currently displays an EV badge to the left of the URL bar. Starting in Version 77, Chrome will move this UI to Page Info, which is accessed by clicking the lock icon.

Nguồn thông tin

Và đây là của Mozilla:

In desktop Firefox 70, we intend to remove Extended Validation (EV) indicators from the identity block (the left hand side of the URL bar which is used to display security / privacy information).

Nguồn thông tin

Chrome 77 dự kiến ra mắt vào ngày 10 tháng 09, còn Firefox 70 vào ngày 22 tháng 10. Như vậy chỉ còn vài tuần nữa thôi là chúng ta sẽ không còn thấy được sự khác nhau rõ ràng giữa các chứng chỉ SSL, tất cả giờ chỉ là một biểu tượng ổ khóa màu xanh đồng nhất mà thôi.

Dĩ nhiên thông tin chi tiết loại chứng chỉ, tên doanh nghiệp vẫn hiển thị khi nhấn vào biểu tượng ổ khóa, nhưng chẳng ai click vào đó làm gì, ngoại trừ bạn và tôi?

Theo thông tin mình tìm hiểu được, không phải tự nhiên mà các trình duyệt, đầu tiên là của Apple, sau đó đến Google và Mozilla thống nhất việc hiển thị chứng chỉ SSL, tất cả đều có nguyên nhân của nó.

Trong thông báo của đội Chrome Security UX, website sử dụng EV SSL không bảo vệ người dùng tốt như mọi người tưởng, thậm chí chứng chỉ EV SSL còn có thể được lợi dụng làm giả để lừa đảo. Như hình ảnh ví dụ được test dưới đây:

Apple cách đây 1 năm nói rằng, tên doanh nghiệp hiển thị trên thanh địa chỉ trình duyệt không có ý nghĩa gì khi tên miền đã làm tốt vai trò của nó rồi. Vậy thì bỏ đi thôi.

Apple said that this changes was based on research and customer input. “Org name is not tied to users intended destination the same way that the domain name is”

Vậy giờ sao? EV SSL vừa đắt, đăng ký verify phức tạp mà chẳng có tác dụng gì khác biệt thì anh em còn đăng ký làm gì nữa không?

Comment của bạn

58 Comments on "Chứng chỉ EV SSL đã chết, anh em đừng mua phí tiền"

avatar

mới nhất cũ nhất like nhiều nhất
việt2 năm gắn bó cùng Canh Me

Mình toàn sài free ssl. Mỗi tháng là phải phải gia hạn 1 lần

Hoàng Nguyễn

Admin nói vậy thì admin chưa hiểu EV SSL có tác dụng gì rồi.

Ngoài việc bật cái khóa xanh, hiển thị tên doanh nghiệp, tổ chức.. thì thứ quan trọng nhất nó cung cấp mà Lets Enscrypt không có và không bao giờ có. Đó là phí bảo hiểm giao dịch.
Tùy gói doanh nghiệp lựa chọn, mà phí bảo hiểm từ 10.000$ đến vài triệu $.
“$1.00m warranty help with users’ peace of mind.”

Đó là thứ mà SSL free không thể cung cấp cho người dùng được admin nhé!

DaiThinh5 năm gắn bó cùng Canh Me

Xin chào các bạn.

Mình có website thanh toán trực tuyến bằng visa, paypal, thì nên dùng ssl nào an toàn nhĩ?

Thank mn.

Hoàng Nguyễn

Hi Thịnh,
An toàn có 3 vấn đề là config máy chủ, 2 code security và ssl là một phần. An toàn thì mua gói dành cho website thương mại điện tử, doanh nghiệp. Tùy theo mức độ hoạt động mà chọn gói cho phù hợp. Nếu hoạt động thương mại điện tử & doanh nghiệp thì nên mua. Vì nó có phí bảo hiểm. như gói EV Multi-Domain SSL thì giá trị bảo hiểm là một triệu $, bù lại phí mua nó là 142.99$.

Muốn có bảo hiểm hãy mua nó.

Dương3 năm gắn bó cùng Canh Me
Dương
1,085 comment

Có phí Comodo 200k được rồi bác. Bài viết trên viết thì cũng hiểu rồi tongueout

Trung6 năm gắn bó cùng Canh Me

Tôi thấy vậy không an toàn cho mấy, tại vì các tên miền có thể mạo hoặc tạo gần giống rất dễ dàng.

Vinh

Nói thật là dùng ssl bình thường mã hóa khi trao đổi data là thấy ok rồi rofl

Sơn4 năm gắn bó cùng Canh MeHơn 300 comments

Good new, đỡ tốn tiền cạnh tranh laugh

Lộc2 năm gắn bó cùng Canh Me

Mình toàn đi qua cloudflare xài ké luôn ssl của ẻm rofl

Dương3 năm gắn bó cùng Canh Me

Không khác gì hàng có phí bác nhỉ? cool Nhìn vẫn sang hơn Let’s Encrypt

Lộc2 năm gắn bó cùng Canh Me

Đúng rồi bác, tận dụng thôi, trừ khi làm doanh nghiệp lớn, sợ bị tấn công, mua SSL có bảo hiểm mà nghe như admin nói cũng hiếm trường hợp bảo hiểm, nên thôi nhỏ bé vừa vẫn cứ free cho tiết kiệm chi phí, chi phí đó để nâng vps/host mạnh hơn mà chiến cho tẹt ga laugh

Tuấn1 năm gắn bó cùng Canh Me

Em thấy Let’s Encrypt sang hơn chứ, mở ra xem thấy nó issue cho tên miền của mình, trong khi dùng CloudFlare thì nó issue cho tên miền của nó

nguyen quyet

Các SSL không có khác nhau nhiều vậy thì mình mua loại rẻ vậy
SSL của gogetssl có hơn 4$

Sabo2 năm gắn bó cùng Canh Me

ko khác biệt thì thôi dùng cái Let cũng dc

Minh Khanh2 năm gắn bó cùng Canh MeHơn 100 comments

cái chứng chỉ này đắt

Ngô Văn Cương1 năm gắn bó cùng Canh Me

Chời đựu, em đang tính mua các bác ạ @@

Gia KhánhHơn 100 comments

tí nữa thì ăn cám, mất tiền oan :3

Binh Nguyen4 năm gắn bó cùng Canh MeHơn 900 comments

Nếu nó bỏ chắc cũng hoàn tiền lại đấy nhỉ

Quang5 năm gắn bó cùng Canh Me
EV và Nor để phân loại đâu là person và company, EV setup quá đơn giản chả có gì khó như thớt nói trong bài viết, có lẽ vì EV giá quá cao nên muốn hạ bệ loại bỏ EV đây mà, còn về bảo mật thì thì EV luôn hơn Nor chứ, mà cho dù có encrypt cỡ nào đi nữa vẫn hack được nếu người ta đã muốn. Các công ty tui làm đều xài EV, (Mỗi lần đăng ký EV là đút túi được mớ tiền, giờ loại bỏ EV thì IT Manager Việt nói riêng và… Read more »
Nam

Mấy nhà cung cấp SSL sẽ thổ huyết vì mất một lượng lớn tiền
Các vụ lừa đảo sẽ tăng vì EV ko hiển thị sẽ như nhau hết càng khó phân biệt

Gia KhánhHơn 100 comments

đây cũng được xem là phá sản :3

ironman

“nhưng chẳng ai click vào đó làm gì, ngoại trừ bạn và tôi”
Thích nhất câu này, vì chỉ có bạn & tôi click, người thường ai mà click làm gì 😉

Trương Minh Đức

Với mình thì không. Có khi nó lại thành miễn phí thì hay.

ironman

EV làm loạn thanh address, theo mình nên bỏ ev luôn để thống nhất 1 kiểu hiển thị, chính vì nó mà có web thì hiện tên, có web thì hiện domain.

Gia KhánhHơn 100 comments

có lẽ là do hên xui chăng :3

Onedana2 năm gắn bó cùng Canh MeHơn 300 comments

thôi cứ LET mà tiến lên thôi

Sabo2 năm gắn bó cùng Canh Me

Let vẫn là sự lựa chọn tốt cwl

Thành CCTV2 năm gắn bó cùng Canh MeHơn 100 comments

Vẫn trung thành với anh LE thôi

Tuấn3 năm gắn bó cùng Canh MeHơn 100 comments

Lâu quá mới thấy CM có bài hay thế này

Tung4 năm gắn bó cùng Canh MeHơn 300 comments

Cảm ơn Canhme đã có thông tin kịp thời cho anh em

Quyen LinhHơn 100 comments

Hehe, LE muôn năm. inlove

Gia KhánhHơn 100 comments

Khá gắt :3