In Chrome 77 und Firefox 70 wird die Markierung von Zertifikaten mit erweiterter Validierung eingestellt.

Google hat entschieden, die separate Kennzeichnung von EV-Zertifikaten abzulehnen (Extended Validation) in Chrome. Während zuvor in der Adresszeile für Websites mit solchen Zertifikaten der Name des geprüften Unternehmens angezeigt wurde, wird nun für diese Websites das gleiche Symbol für eine sichere Verbindung angezeigt wie bei Zertifikaten mit Domain-Zugangsverifizierung.

Seit Chrome 77 wird die Information über die Verwendung von EV-Zertifikaten nur im Dropdown-Menü angezeigt, das erscheint, wenn man auf das Symbol der sicheren Verbindung klickt. Im Jahr 2018 hat Apple eine ähnliche Entscheidung für den Safari-Browser getroffen und diese in den Versionen iOS 12 und macOS 10.14 umgesetzt. Ich erinnere daran, dass EV-Zertifikate die angegebenen Identifikationsdaten bestätigen und eine Überprüfung der Dokumente zur Domainzugehörigkeit sowie die physische Anwesenheit des Ressourceninhabers durch die Zertifizierungsstelle erfordern.

Eine von Google durchgeführte Studie hat gezeigt, dass der zuvor verwendete Indikator für EV-Zertifikate nicht den gewünschten Schutz für Benutzer bot, die den Unterschied nicht bemerkten und diesen bei der Eingabe vertraulicher Daten auf Websites nicht berücksichtigten. Die Untersuchung hat ergeben, Untersuchung dass 85 % der Nutzer nicht davon abgehalten wurden, ihre Anmeldedaten einzugeben, wenn in der URL-Leiste "accounts.google.com.amp.tinyurl.com" anstelle von "accounts.google.com" angezeigt wurde, vorausgesetzt, die Seite zeigte eine für Google typische Benutzeroberfläche an.

Um Vertrauen in eine Website zu schaffen, war es für die meisten Benutzer ausreichend, die Seite ähnlich wie das Original zu gestalten. Dadurch kam man zu dem Schluss, dass positive Sicherheitsindikatoren ineffektiv sind und der Fokus auf der Bereitstellung klarer Warnhinweise bei Problemen liegen sollte. Zum Beispiel wird ein ähnliches Schema seit kurzem für HTTP-Verbindungen verwendet, die ausdrücklich als unsicher gekennzeichnet werden.

Die für EV-Zertifikate angezeigten Informationen nehmen zu viel Platz in der Adresszeile ein, was zusätzliche Verwirrung beim Anzeigen des Unternehmensnamens im Browser-Interface verursachen kann. Darüber hinaus wird das Prinzip der Produktneutralität und genutzt. Phishing untergraben. Zum Beispiel hat die Zertifizierungsstelle Symantec ein EV-Zertifikat für das Unternehmen „Identity Verified“ ausgestellt, dessen Name die Nutzer in die Irre führte, insbesondere wenn der tatsächliche Name der geöffneten Domain nicht in die Adresszeile passte:

In Chrome 77 und Firefox 70 wird die Markierung von Zertifikaten mit erweiterter Validierung eingestellt.

In Chrome 77 und Firefox 70 wird die Markierung von Zertifikaten mit erweiterter Validierung eingestellt.

Zusatz: Die Firefox-Entwickler ein werden eine ähnliche Lösung implementieren und ab der Version Firefox 70 EV-Zertifikate in der Adresszeile nicht mehr gesondert hervorheben. In Firefox 70 wird auch geändert die Anzeige der Protokolle HTTPS und HTTP in der Adresszeile erfolgen.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster