Google εγκαταλείψει τη χωριστή σήμανση των πιστοποιητικών επιπέδου EV () στο Chrome. Εάν προηγουμένως για ιστότοπους με παρόμοια πιστοποιητικά εμφανιζόταν στη γραμμή διευθύνσεων το όνομα της εταιρείας που επαληθεύτηκε από το κέντρο πιστοποίησης, τώρα για αυτούς τους ιστότοπους την ίδια ένδειξη ασφαλούς σύνδεσης όπως και για τα πιστοποιητικά με επαλήθευση πρόσβασης τομέα.
Ξεκινώντας με το Chrome 77, οι πληροφορίες σχετικά με τη χρήση πιστοποιητικών EV θα εμφανίζονται μόνο στο αναπτυσσόμενο μενού που εμφανίζεται όταν κάνετε κλικ στο εικονίδιο ασφαλούς σύνδεσης. Το 2018, η Apple πήρε παρόμοια απόφαση για το πρόγραμμα περιήγησης Safari και την υλοποίησε στις εκδόσεις του iOS 12 και του macOS 10.14. Ας υπενθυμίσουμε ότι τα πιστοποιητικά EV επιβεβαιώνουν τις δηλωμένες παραμέτρους αναγνώρισης και απαιτούν από ένα κέντρο πιστοποίησης να επαληθεύει έγγραφα που επιβεβαιώνουν την ιδιοκτησία του τομέα και τη φυσική παρουσία του κατόχου του πόρου.
Μια μελέτη της Google διαπίστωσε ότι ο δείκτης που χρησιμοποιήθηκε προηγουμένως για πιστοποιητικά EV δεν παρείχε την αναμενόμενη προστασία σε χρήστες που δεν έδωσαν προσοχή στη διαφορά και δεν τον χρησιμοποιούσαν όταν λάμβαναν αποφάσεις σχετικά με την εισαγωγή ευαίσθητων δεδομένων σε ιστότοπους. Ξόδεψε στο Google έδειξε ότι το 85% των χρηστών δεν σταμάτησε να εισαγάγει τα διαπιστευτήριά τους λόγω της παρουσίας στη γραμμή διευθύνσεων της διεύθυνσης URL "accounts.google.com.amp.tinyurl.com" αντί για "accounts.google.com", εάν εμφανίζεται η σελίδα μια τυπική διεπαφή ιστότοπου Google.
Για να εμπνεύσει εμπιστοσύνη στον ιστότοπο στους περισσότερους χρήστες, αρκούσε απλώς να γίνει η σελίδα παρόμοια με την αρχική. Ως αποτέλεσμα, συνήχθη το συμπέρασμα ότι οι θετικοί δείκτες ασφάλειας δεν είναι αποτελεσματικοί και αξίζει να εστιάσουμε στην οργάνωση της παραγωγής ρητών προειδοποιήσεων για προβλήματα. Για παράδειγμα, ένα παρόμοιο σχήμα έχει χρησιμοποιηθεί πρόσφατα για συνδέσεις HTTP που επισημαίνονται σαφώς ως μη ασφαλείς.
Ταυτόχρονα, οι πληροφορίες που εμφανίζονται για τα πιστοποιητικά EV καταλαμβάνουν πολύ χώρο στη γραμμή διευθύνσεων, μπορεί να προκαλέσουν επιπλέον σύγχυση όταν εμφανίζεται το όνομα της εταιρείας στη διεπαφή του προγράμματος περιήγησης και επίσης παραβιάζει την αρχή της ουδετερότητας του προϊόντος και για phishing. Για παράδειγμα, η αρχή πιστοποίησης της Symantec εξέδωσε ένα πιστοποιητικό EV στην εταιρεία "Identity Verified", το όνομα του οποίου ήταν παραπλανητικό για τους χρήστες, ειδικά όταν το πραγματικό όνομα του δημόσιου τομέα δεν χωρούσε στη γραμμή διευθύνσεων:
Προσθήκη: Προγραμματιστές Firefox μια παρόμοια λύση και δεν θα εκχωρήσει χωριστά πιστοποιητικά EV στο απόθεμα διευθύνσεων ξεκινώντας με την κυκλοφορία του Firefox 70. Στον Firefox 70 θα υπάρχουν επίσης εμφάνιση των πρωτοκόλλων HTTPS και HTTP στη γραμμή διευθύνσεων.
Πηγή: opennet.ru