Google opgive den separate mærkning af EV-niveaucertifikater () i Chrome. Hvis tidligere for websteder med lignende certifikater blev navnet på virksomheden bekræftet af certificeringscentret vist i adresselinjen, nu for disse websteder den samme indikator for en sikker forbindelse som for certifikater med verifikation af domæneadgang.
Fra og med Chrome 77 vil oplysninger om brugen af EV-certifikater kun blive vist i rullemenuen, der vises, når du klikker på ikonet for sikker forbindelse. I 2018 traf Apple en lignende beslutning for Safari-browseren og implementerede den i udgivelserne af iOS 12 og macOS 10.14. Lad os huske på, at EV-certifikater bekræfter de angivne identifikationsparametre og kræver, at et certificeringscenter verificerer dokumenter, der bekræfter domæneejerskab og den fysiske tilstedeværelse af ejeren af ressourcen.
En Google-undersøgelse viste, at den indikator, der tidligere blev brugt til EV-certifikater, ikke gav den forventede beskyttelse for brugere, der ikke var opmærksomme på forskellen og ikke brugte den, når de traf beslutninger om at indtaste følsomme data på websteder. Brugt på Google viste, at 85 % af brugerne ikke blev forhindret i at indtaste deres legitimationsoplysninger af tilstedeværelsen af "accounts.google.com.amp.tinyurl.com" i URL-linjen i stedet for "accounts.google.com", hvis siden viste en typisk Google webstedsgrænseflade.
For at skabe tillid til siden blandt de fleste brugere, var det nok bare at få siden til at ligne originalen. Som et resultat blev det konkluderet, at positive sikkerhedsindikatorer ikke er effektive, og det er værd at fokusere på at organisere outputtet af eksplicitte advarsler om problemer. For eksempel er et lignende skema for nylig blevet brugt til HTTP-forbindelser, der tydeligt er markeret som usikre.
Samtidig optager de viste oplysninger for EV-certifikater for meget plads i adresselinjen, kan føre til yderligere forvirring, når man ser firmanavnet i browsergrænsefladen, og overtræder også princippet om produktneutralitet og til phishing. For eksempel udstedte Symantec-certificeringsmyndigheden et EV-certifikat til virksomheden "Identity Verified", hvis navn var vildledende for brugerne, især når det rigtige navn på det offentlige domæne ikke passede ind i adresselinjen:
Tilføjelse: Firefox-udviklere en lignende løsning og vil ikke særskilt tildele EV-certifikater i adressebeholdningen fra og med udgivelsen af Firefox 70. I Firefox 70 vil der også være visning af HTTPS- og HTTP-protokoller i adresselinjen.
Kilde: opennet.ru