Chứng chỉ EV SSL đã chết, anh em đừng mua phí tiền

Chứng chỉ cao cấp EV SSL vốn được các doanh nghiệp tin tưởng lựa chọn với kiểu hiển thị tên công ty  trên thanh địa chỉ trình duyệt nhìn rất ngầu, sao lại bảo đừng mua phí tiền?

Chứng chỉ EV SSL (Extend Validated SSL) là chứng chỉ cao cấp nhất dành cho các đối tượng là doanh nghiệp hoặc tổ chức được cấp phép hoạt động. Điều này có nghĩa là EV SSL không thể cấp cho cá nhân hay bất kỳ một pháp nhân nào không được cấp phép bởi cơ quan có thẩm quyền trong nước sở tại.

Từ trước tới nay, mình tin tưởng rằng những khách hàng đăng ký sử dụng EV SSL phần lớn bởi vì website sử dụng chứng chỉ này sẽ được các trình duyệt hiển thị thêm tên công ty trên thanh địa chỉ rất nổi bật. Khách hàng truy cập website thấy cái này sẽ nghĩ rằng công ty này uy tín, mức độ tin tưởng cao hơn.

Tuy nhiên, điều này sẽ không còn đúng trong tương lai nữa. Thậm chí ngay từ thời điểm hiện tại chứng chỉ EV SSL đã không còn phát huy được thế mạnh của nó nữa rồi.

Cách đây khoảng 1 năm, tên doanh nghiệp đã không còn xuất hiện trên trình duyệt Safari trên iOS, kể từ phiên bản macOS Mojave, Safari cũng đã làm điều tương tự.

Có thể bạn nghĩ đây mới chỉ là hành động đơn phương của Apple mà thôi, chưa ảnh hưởng gì nhiều lắm khi mà trình duyệt Chrome vẫn đang thống trị Internet. Vậy thì hãy đọc thông báo chính thức gần đây của Google và Mozilla, coi như đã đặt dấu chấm hết cho chứng chỉ EV SSL rồi nhé.

On HTTPS websites using EV certificates, Chrome currently displays an EV badge to the left of the URL bar. Starting in Version 77, Chrome will move this UI to Page Info, which is accessed by clicking the lock icon.

Nguồn thông tin

Và đây là của Mozilla:

In desktop Firefox 70, we intend to remove Extended Validation (EV) indicators from the identity block (the left hand side of the URL bar which is used to display security / privacy information).

Nguồn thông tin

Chrome 77 dự kiến ra mắt vào ngày 10 tháng 09, còn Firefox 70 vào ngày 22 tháng 10. Như vậy chỉ còn vài tuần nữa thôi là chúng ta sẽ không còn thấy được sự khác nhau rõ ràng giữa các chứng chỉ SSL, tất cả giờ chỉ là một biểu tượng ổ khóa màu xanh đồng nhất mà thôi.

Dĩ nhiên thông tin chi tiết loại chứng chỉ, tên doanh nghiệp vẫn hiển thị khi nhấn vào biểu tượng ổ khóa, nhưng chẳng ai click vào đó làm gì, ngoại trừ bạn và tôi?

Theo thông tin mình tìm hiểu được, không phải tự nhiên mà các trình duyệt, đầu tiên là của Apple, sau đó đến Google và Mozilla thống nhất việc hiển thị chứng chỉ SSL, tất cả đều có nguyên nhân của nó.

Trong thông báo của đội Chrome Security UX, website sử dụng EV SSL không bảo vệ người dùng tốt như mọi người tưởng, thậm chí chứng chỉ EV SSL còn có thể được lợi dụng làm giả để lừa đảo. Như hình ảnh ví dụ được test dưới đây:

Apple cách đây 1 năm nói rằng, tên doanh nghiệp hiển thị trên thanh địa chỉ trình duyệt không có ý nghĩa gì khi tên miền đã làm tốt vai trò của nó rồi. Vậy thì bỏ đi thôi.

Apple said that this changes was based on research and customer input. “Org name is not tied to users intended destination the same way that the domain name is”

Vậy giờ sao? EV SSL vừa đắt, đăng ký verify phức tạp mà chẳng có tác dụng gì khác biệt thì anh em còn đăng ký làm gì nữa không?

4.6/5 - (94 votes)
guest

58 Bình luận
mới nhất
cũ nhất
Inline Feedbacks
View all comments

việt
59
việt
4 năm trước

Mình toàn sài free ssl. Mỗi tháng là phải phải gia hạn 1 lần

Hoàng Nguyễn
4
Hoàng Nguyễn
4 năm trước

Admin nói vậy thì admin chưa hiểu EV SSL có tác dụng gì rồi.

Ngoài việc bật cái khóa xanh, hiển thị tên doanh nghiệp, tổ chức.. thì thứ quan trọng nhất nó cung cấp mà Lets Enscrypt không có và không bao giờ có. Đó là phí bảo hiểm giao dịch.
Tùy gói doanh nghiệp lựa chọn, mà phí bảo hiểm từ 10.000$ đến vài triệu $.
“$1.00m warranty help with users’ peace of mind.”

Đó là thứ mà SSL free không thể cung cấp cho người dùng được admin nhé!

DaiThinh
21
DaiThinh
4 năm trước

Xin chào các bạn.

Mình có website thanh toán trực tuyến bằng visa, paypal, thì nên dùng ssl nào an toàn nhĩ?

Thank mn.

Hoàng Nguyễn
4
Hoàng Nguyễn
4 năm trước
Reply to  DaiThinh

Hi Thịnh,
An toàn có 3 vấn đề là config máy chủ, 2 code security và ssl là một phần. An toàn thì mua gói dành cho website thương mại điện tử, doanh nghiệp. Tùy theo mức độ hoạt động mà chọn gói cho phù hợp. Nếu hoạt động thương mại điện tử & doanh nghiệp thì nên mua. Vì nó có phí bảo hiểm. như gói EV Multi-Domain SSL thì giá trị bảo hiểm là một triệu $, bù lại phí mua nó là 142.99$.

Muốn có bảo hiểm hãy mua nó.

Dương
1,354
Dương
4 năm trước
Reply to  DaiThinh

Có phí Comodo 200k được rồi bác. Bài viết trên viết thì cũng hiểu rồi tongueout

Trung
13
Trung
4 năm trước

Tôi thấy vậy không an toàn cho mấy, tại vì các tên miền có thể mạo hoặc tạo gần giống rất dễ dàng.

Vinh
22
Vinh
4 năm trước

Nói thật là dùng ssl bình thường mã hóa khi trao đổi data là thấy ok rồi rofl

Sơn
345
Sơn
4 năm trước

Good new, đỡ tốn tiền cạnh tranh laugh

Lộc
70
Lộc
4 năm trước

Mình toàn đi qua cloudflare xài ké luôn ssl của ẻm rofl

Dương
1,354
Dương
4 năm trước
Reply to  Lộc

Không khác gì hàng có phí bác nhỉ? cool Nhìn vẫn sang hơn Let’s Encrypt

Lộc
70
Lộc
4 năm trước
Reply to  Dương

Đúng rồi bác, tận dụng thôi, trừ khi làm doanh nghiệp lớn, sợ bị tấn công, mua SSL có bảo hiểm mà nghe như admin nói cũng hiếm trường hợp bảo hiểm, nên thôi nhỏ bé vừa vẫn cứ free cho tiết kiệm chi phí, chi phí đó để nâng vps/host mạnh hơn mà chiến cho tẹt ga laugh

Tuấn
21
Tuấn
4 năm trước
Reply to  Dương

Em thấy Let’s Encrypt sang hơn chứ, mở ra xem thấy nó issue cho tên miền của mình, trong khi dùng CloudFlare thì nó issue cho tên miền của nó

nguyen quyet
65
nguyen quyet
4 năm trước

Các SSL không có khác nhau nhiều vậy thì mình mua loại rẻ vậy
SSL của gogetssl có hơn 4$

Sabo
1,603
Sabo
4 năm trước
Reply to  nguyen quyet

ko khác biệt thì thôi dùng cái Let cũng dc

Minh Khanh
210
Minh Khanh
4 năm trước

cái chứng chỉ này đắt

Ngô Văn Cương
2
Ngô Văn Cương
4 năm trước

Chời đựu, em đang tính mua các bác ạ @@

Gia Khánh
174
Gia Khánh
4 năm trước

tí nữa thì ăn cám, mất tiền oan :3

Binh Nguyen
1,476
Binh Nguyen
4 năm trước
Reply to  Gia Khánh

Nếu nó bỏ chắc cũng hoàn tiền lại đấy nhỉ

Quang
38
Quang
4 năm trước

EV và Nor để phân loại đâu là person và company, EV setup quá đơn giản chả có gì khó như thớt nói trong bài viết, có lẽ vì EV giá quá cao nên muốn hạ bệ loại bỏ EV đây mà, còn về bảo mật thì thì EV luôn hơn Nor chứ, mà cho dù có encrypt cỡ nào đi nữa vẫn hack được nếu người ta đã muốn. Các công ty tui làm đều xài EV, (Mỗi lần đăng ký EV là đút túi được mớ tiền, giờ loại bỏ EV thì IT Manager Việt nói riêng và… Read more »

Nam
1
Nam
4 năm trước

Mấy nhà cung cấp SSL sẽ thổ huyết vì mất một lượng lớn tiền
Các vụ lừa đảo sẽ tăng vì EV ko hiển thị sẽ như nhau hết càng khó phân biệt

Gia Khánh
174
Gia Khánh
4 năm trước
Reply to  Nam

đây cũng được xem là phá sản :3

ironman
3
ironman
4 năm trước

“nhưng chẳng ai click vào đó làm gì, ngoại trừ bạn và tôi”
Thích nhất câu này, vì chỉ có bạn & tôi click, người thường ai mà click làm gì 😉

Trương Minh Đức
2
Trương Minh Đức
4 năm trước

Với mình thì không. Có khi nó lại thành miễn phí thì hay.

ironman
3
ironman
4 năm trước

EV làm loạn thanh address, theo mình nên bỏ ev luôn để thống nhất 1 kiểu hiển thị, chính vì nó mà có web thì hiện tên, có web thì hiện domain.

Gia Khánh
174
Gia Khánh
4 năm trước

có lẽ là do hên xui chăng :3

Onedana
379
Onedana
4 năm trước

thôi cứ LET mà tiến lên thôi

Sabo
1,603
Sabo
4 năm trước
Reply to  Onedana

Let vẫn là sự lựa chọn tốt cwl

Thành CCTV
113
Thành CCTV
4 năm trước

Vẫn trung thành với anh LE thôi

Tuấn
160
Tuấn
4 năm trước

Lâu quá mới thấy CM có bài hay thế này

Tung
405
Tung
4 năm trước

Cảm ơn Canhme đã có thông tin kịp thời cho anh em

Quyen Linh
243
Quyen Linh
4 năm trước

Hehe, LE muôn năm. inlove

Gia Khánh
174
Gia Khánh
4 năm trước
Reply to  Quyen Linh

Khá gắt :3