ProHoster > Блог > internet vijesti > Chrome 77 i Firefox 70 prestat će označavati proširene verifikacijske certifikate

Chrome 77 i Firefox 70 prestat će označavati proširene verifikacijske certifikate

Google donio odluku napustiti odvojeno označavanje certifikata nivoa EV (Proširena validacija) u Chromeu. Ako se ranije za sajtove sa sličnim sertifikatima u adresnoj traci prikazivao naziv kompanije verifikovane od strane centra za sertifikaciju, sada za ove sajtove će biti prikazano isti indikator bezbedne veze kao i za sertifikate sa verifikacijom pristupa domenu.

Počevši od Chrome 77, informacije o korištenju EV certifikata bit će prikazane samo u padajućem izborniku koji se prikazuje kada kliknete na ikonu sigurne veze. Apple je 2018. godine donio sličnu odluku za pretraživač Safari i implementirao je u izdanja iOS 12 i macOS 10.14. Podsjetimo, EV certifikati potvrđuju navedene identifikacijske parametre i zahtijevaju od centra za certifikaciju provjeru dokumenata koji potvrđuju vlasništvo nad domenom i fizičko prisustvo vlasnika resursa.

Googleova studija pokazala je da indikator koji se ranije koristio za EV certifikate nije pružio očekivanu zaštitu za korisnike koji nisu obraćali pažnju na razliku i nisu ga koristili prilikom donošenja odluka o unosu osjetljivih podataka na stranice. Potrošeno na Googleu studija pokazalo da 85% korisnika nije spriječilo da unese svoje akreditive prisustvo u adresnoj traci URL-a “accounts.google.com.amp.tinyurl.com” umjesto “accounts.google.com”, ako se stranica prikazuje tipičan interfejs Google sajta.

Da bi se kod većine korisnika ulilo povjerenje u stranicu, bilo je dovoljno samo učiniti stranicu sličnom originalu. Kao rezultat toga, došlo se do zaključka da pozitivni indikatori sigurnosti nisu efikasni i da je vrijedno fokusirati se na organizovanje izlaza eksplicitnih upozorenja o problemima. Na primjer, slična šema se nedavno koristila za HTTP veze koje su jasno označene kao nesigurne.

Istovremeno, informacije prikazane za EV sertifikate zauzimaju previše prostora u adresnoj traci, mogu dovesti do dodatne zabune kada se vidi naziv kompanije u interfejsu pretraživača, a takođe krši princip neutralnosti proizvoda i polovan za phishing. Na primjer, Symantec certifikacijski organ izdao je EV certifikat kompaniji “Identity Verified”, čiji je naziv bio zavaravajući za korisnike, posebno kada se pravi naziv javnog domena nije uklapao u adresnu traku:

Chrome 77 i Firefox 70 prestat će označavati proširene verifikacijske certifikate

Chrome 77 i Firefox 70 prestat će označavati proširene verifikacijske certifikate

Dodatak: Firefox Developers prihvaćen slično rješenje i neće posebno dodijeliti EV certifikate u zalihu adresa počevši od izdavanja Firefoxa 70. U Firefoxu 70 će također biti promijenio prikaz HTTPS i HTTP protokola u adresnoj traci.

izvor: opennet.ru

Dodajte komentar