Google abandonar el marcado separado de los certificados de nivel de vehículos eléctricos () en Chrome. Si anteriormente para sitios con certificados similares se mostraba en la barra de direcciones el nombre de la empresa verificada por el centro de certificación, ahora para estos sitios el mismo indicador de conexión segura que para los certificados con verificación de acceso al dominio.
A partir de Chrome 77, la información sobre el uso de certificados EV solo se mostrará en el menú desplegable que se muestra al hacer clic en el icono de conexión segura. En 2018, Apple tomó una decisión similar para el navegador Safari y lo implementó en las versiones de iOS 12 y macOS 10.14. Recordemos que los certificados EV confirman los parámetros de identificación indicados y requieren que un centro de certificación verifique los documentos que confirman la propiedad del dominio y la presencia física del propietario del recurso.
Un estudio de Google encontró que el indicador utilizado anteriormente para los certificados EV no brindaba la protección esperada para los usuarios que no prestaban atención a la diferencia y no lo utilizaban al tomar decisiones sobre el ingreso de datos confidenciales en los sitios. Gastado en Google mostró que al 85% de los usuarios no se les impidió ingresar sus credenciales por la presencia en la barra de direcciones de la URL "accounts.google.com.amp.tinyurl.com" en lugar de "accounts.google.com", si la página muestra una interfaz típica de un sitio de Google.
Para inspirar confianza en el sitio entre la mayoría de los usuarios, bastaba con hacer que la página fuera similar a la original. Como resultado, se concluyó que los indicadores de seguridad positivos no son efectivos y que vale la pena centrarse en organizar la emisión de advertencias explícitas sobre los problemas. Por ejemplo, recientemente se ha utilizado un esquema similar para conexiones HTTP que están claramente marcadas como inseguras.
Al mismo tiempo, la información que se muestra en los certificados EV ocupa demasiado espacio en la barra de direcciones, puede generar confusión adicional al ver el nombre de la empresa en la interfaz del navegador y también viola el principio de neutralidad del producto y por phishing. Por ejemplo, la autoridad de certificación de Symantec emitió un certificado EV a la empresa "Identity Verified", cuyo nombre confundía a los usuarios, especialmente cuando el nombre real del dominio público no cabía en la barra de direcciones:
Adición: Desarrolladores de Firefox una solución similar y no asignará por separado certificados EV en el stock de direcciones a partir del lanzamiento de Firefox 70. En Firefox 70 también habrá visualización de los protocolos HTTPS y HTTP en la barra de direcciones.
Fuente: opennet.ru