Google loobuma EV taseme sertifikaatide eraldi märgistamisest () Chrome'is. Kui varem kuvati sarnaste sertifikaatidega saitide puhul aadressiribal sertifitseerimiskeskuse kinnitatud ettevõtte nimi, siis nüüd nende saitide puhul sama turvalise ühenduse indikaator, mis domeeni juurdepääsu kinnitusega sertifikaatide puhul.
Alates versioonist Chrome 77 kuvatakse teave EV-sertifikaatide kasutamise kohta ainult rippmenüüs, mis kuvatakse siis, kui klõpsate turvalise ühenduse ikoonil. 2018. aastal tegi Apple sarnase otsuse Safari brauseri puhul ja rakendas selle iOS 12 ja macOS 10.14 väljalasetes. Tuletame meelde, et EV sertifikaadid kinnitavad märgitud identifitseerimisparameetreid ja nõuavad sertifitseerimiskeskust domeeni omandiõigust ja ressursi omaniku füüsilist kohalolekut kinnitavate dokumentide kontrollimiseks.
Google'i uuring leidis, et varem EV sertifikaatide puhul kasutatud indikaator ei andnud oodatud kaitset kasutajatele, kes ei pööranud erinevusele tähelepanu ega kasutanud seda saitidele delikaatsete andmete sisestamise otsuste tegemisel. Google'is kulutatud näitas, et 85% kasutajatest ei takistanud oma mandaatide sisestamist URL-i riba „accounts.google.com” asemel aadress „accounts.google.com.amp.tinyurl.com”, kui lehel kuvatakse tüüpiline Google'i tekst. saidi liides.
Enamiku kasutajate seas saidi vastu usalduse äratamiseks piisas vaid lehe originaaliga sarnaseks muutmisest. Sellest tulenevalt jõuti järeldusele, et positiivsed turvanäitajad ei ole tõhusad ning keskenduda tasub probleemide korral selgesõnaliste hoiatuste väljundi korraldamisele. Näiteks on hiljuti kasutatud sarnast skeemi HTTP-ühenduste puhul, mis on selgelt märgitud ebaturvaliseks.
Samas võtab EV sertifikaatide jaoks kuvatav teave aadressiribal liiga palju ruumi, võib brauseri liideses ettevõtte nime nähes tekitada täiendavat segadust ning rikub ka toote neutraalsuse põhimõtet ja andmepüügi eest. Näiteks Symanteci sertifitseerimisasutus väljastas ettevõttele „Identity Verified“ EV-sertifikaadi, mille nimi oli kasutajaid eksitav, eriti kui avaliku domeeni tegelik nimi aadressiribale ei mahtunud:
Täiendus: Firefoxi arendajad sarnast lahendust ja ei eralda alates Firefox 70 väljalaskest eraldi EV-sertifikaate aadresside laos. Firefox 70-s on samuti HTTPS ja HTTP protokollide kuvamine aadressiribal.
Allikas: opennet.ru