Google Verzicht auf die gesonderte Kennzeichnung von EV-Level-Zertifikaten () in Chrome. Wurde bisher bei Sites mit ähnlichen Zertifikaten der Name des von der Zertifizierungsstelle verifizierten Unternehmens in der Adressleiste angezeigt, gilt dies nun auch für diese Sites derselbe Indikator für eine sichere Verbindung wie bei Zertifikaten mit Domänenzugriffsverifizierung.
Ab Chrome 77 werden Informationen zur Verwendung von EV-Zertifikaten nur dann im Dropdown-Menü angezeigt, wenn Sie auf das Symbol für die sichere Verbindung klicken. Im Jahr 2018 traf Apple eine ähnliche Entscheidung für den Safari-Browser und implementierte sie in den Versionen iOS 12 und macOS 10.14. Erinnern wir uns daran, dass EV-Zertifikate die angegebenen Identifikationsparameter bestätigen und von einer Zertifizierungsstelle verlangen, Dokumente zu überprüfen, die den Besitz der Domain und die physische Anwesenheit des Eigentümers der Ressource bestätigen.
Eine Google-Studie ergab, dass der bisher für EV-Zertifikate verwendete Indikator nicht den erwarteten Schutz für Nutzer bot, die den Unterschied nicht beachteten und ihn bei Entscheidungen über die Eingabe sensibler Daten auf Websites nicht verwendeten. Bei Google ausgegeben zeigte, dass 85 % der Nutzer nicht durch das Vorhandensein der URL „accounts.google.com.amp.tinyurl.com“ in der Adressleiste anstelle von „accounts.google.com“ von der Eingabe ihrer Anmeldeinformationen abgehalten wurden, wenn die Seite angezeigt wird eine typische Benutzeroberfläche einer Google-Website.
Um bei den meisten Nutzern Vertrauen in die Website zu wecken, reichte es aus, die Seite einfach dem Original anzunähern. Infolgedessen wurde der Schluss gezogen, dass positive Sicherheitsindikatoren nicht wirksam sind und es sich lohnt, sich auf die Organisation der Ausgabe expliziter Warnungen vor Problemen zu konzentrieren. Ein ähnliches Schema wird beispielsweise neuerdings auch für HTTP-Verbindungen verwendet, die eindeutig als unsicher gekennzeichnet sind.
Gleichzeitig nehmen die angezeigten Informationen für EV-Zertifikate zu viel Platz in der Adressleiste ein, können zu zusätzlicher Verwirrung bei der Anzeige des Firmennamens in der Browseroberfläche führen und verstoßen zudem gegen den Grundsatz der Produktneutralität wegen Phishing. Beispielsweise stellte die Zertifizierungsstelle Symantec dem Unternehmen „Identity Verified“ ein EV-Zertifikat aus, dessen Name für Benutzer irreführend war, insbesondere wenn der echte Name der öffentlichen Domain nicht in die Adressleiste passte:
Zusatz: Firefox-Entwickler eine ähnliche Lösung und wird EV-Zertifikate ab der Veröffentlichung von Firefox 70 nicht mehr separat im Adressbestand zuordnen. In Firefox 70 wird es dies auch geben Anzeige der HTTPS- und HTTP-Protokolle in der Adressleiste.
Source: opennet.ru