Кампанія Google адмовіцца ад асобнай пазнакі сертыфікатаў ўзроўню EV () у Chrome. Калі раней для сайтаў з падобнымі сертыфікатамі ў адрасным радку выводзілася назва праверанай які сведчыць цэнтрам кампаніі, то зараз для дадзеных сайтаў той жа індыкатар абароненага злучэння, што і для сертыфікатаў з верыфікацыяй доступу да дамена.
Пачынальна з Chrome 77 інфармацыя аб ужыванні EV-сертыфікатаў будзе адлюстроўвацца толькі ў выпадальным меню, якое паказваецца пры кліку на значок абароненага злучэння. У 2018 годзе аналагічнае рашэнне прыняла кампанія Apple для браўзэра Safari і ўвасобіла яго ў выпусках iOS 12 і macOS 10.14/XNUMX. Нагадаем, што EV-сертыфікаты пацвярджаюць заяўленыя параметры ідэнтыфікацыі і патрабуюць правядзення які сведчыць цэнтрам праверкі дакументаў аб прыналежнасці дамена і фізічная прысутнасць уладальніка рэсурсу.
Праведзенае ў Google даследаванне паказала, што раней ужывальны для EV-сертыфікатаў індыкатар не падаваў чаканай абароны карыстачоў, якія не зважалі на розніцу і не выкарыстоўвалі яе пры прыняцці рашэнняў аб уводзе канфідэнцыйных дадзеных на сайтах. Праведзенае ў Google паказала, што 85% карыстальнікаў не спыніла ад уводу ўліковых дадзеных наяўнасць у адрасным радку URL "accounts.google.com.amp.tinyurl.com" замест "accounts.google.com", у выпадку, калі на старонцы адлюстроўваецца тыповы для сайта Google інтэрфейс.
Для таго, каб выклікаць давер да сайта ў большасці карыстальнікаў аказалася дастатковым толькі зрабіць старонку падобнай на арыгінал. У выніку была зроблена выснова, што пазітыўныя індыкатары бяспекі не эфектыўныя і варта засяродзіць увагу на арганізацыю вываду відавочных папярэджанняў аб праблемах. Напрыклад, падобная схема з нядаўніх часоў ужываецца для HTTP-злучэнняў, якія відавочна пазначаюцца як небяспечныя.
Пры гэтым выводная для EV-сертыфікатаў інфармацыя займае занадта шмат месца ў адрасным радку, можа прыводзіць да дадатковага замяшання пры выглядзе назвы кампаніі ў інтэрфейсе браўзэра, а таксама парушае прынцып нейтральнасці прадукта і для фішынгу. Напрыклад, які сведчыць цэнтр Symantec выдаў EV-сертыфікат кампаніі «Identity Verified», выснова назову якой уводзіў карыстачоў у памылку, асабліва калі рэальнае імя адчыненага дамена не змяшчалася ў адрасны радок:
Дадатак: Распрацоўнікі Firefox аналагічнае рашэнне і не будуць асобна вылучаць EV-сертыфікаты ў адраснай сцёку пачынальна з выпуску Firefox 70. У Firеfox 70 таксама будзе адлюстраванне пратаколаў HTTPS і HTTP у адрасным радку.
Крыніца: opennet.ru