Google luopua EV-tasotodistusten erillisestä merkitsemisestä () Chromessa. Jos aiemmin samankaltaisten sertifikaattien omaavien sivustojen kohdalla osoiterivillä näytettiin varmennekeskuksen vahvistaman yrityksen nimi, nyt näille sivustoille sama suojatun yhteyden ilmaisin kuin varmenteilla, joissa on verkkotunnuksen käyttöoikeus.
Chrome 77:stä alkaen tiedot EV-varmenteiden käytöstä näkyvät vain avattavassa valikossa, joka näkyy, kun napsautat suojatun yhteyden kuvaketta. Vuonna 2018 Apple teki samanlaisen päätöksen Safari-selaimelle ja otti sen käyttöön iOS 12:n ja macOS 10.14:n julkaisuissa. Muistakaamme, että EV-sertifikaatit vahvistavat ilmoitetut tunnistusparametrit ja vaativat varmennekeskuksen tarkistamaan asiakirjat, jotka vahvistavat verkkotunnuksen omistajuuden ja resurssin omistajan fyysisen läsnäolon.
Googlen tutkimuksessa havaittiin, että aiemmin EV-varmenteissa käytetty indikaattori ei tarjonnut odotettua suojaa käyttäjille, jotka eivät kiinnittäneet huomiota eroon eivätkä käyttäneet sitä tehdessään päätöksiä arkaluonteisten tietojen syöttämisestä sivustoille. Googlessa käytetty osoitti, että 85 prosenttia käyttäjistä ei estänyt antamasta kirjautumistietojaan URL-osoitteen "accounts.google.com.amp.tinyurl.com" esiintyminen "accounts.google.com" sijaan, jos sivulla näkyy tyypillinen Google-sivuston käyttöliittymä.
Useimpien käyttäjien luottamuksen herättämiseksi sivustoa kohtaan riitti vain tehdä sivusta samanlainen kuin alkuperäinen. Tuloksena todettiin, että positiiviset turvallisuusindikaattorit eivät ole tehokkaita ja kannattaa keskittyä ongelmista annettavien eksplisiittisten varoitusten tuotoksen järjestämiseen. Vastaavaa menetelmää on hiljattain käytetty esimerkiksi HTTP-yhteyksissä, jotka on merkitty selvästi turvattomiksi.
Samalla EV-varmenteille näytettävät tiedot vievät liian paljon tilaa osoitepalkissa, voivat aiheuttaa ylimääräistä sekaannusta yrityksen nimen nähdessä selaimen käyttöliittymässä ja rikkovat myös tuoteneutraaliuden periaatetta ja tietojenkalastelua varten. Esimerkiksi Symantecin varmenneviranomainen myönsi EV-sertifikaatin yritykselle "Identity Verified", jonka nimi oli käyttäjiä harhaanjohtava, varsinkin kun julkisen verkkotunnuksen oikea nimi ei mahtunut osoiteriville:
Lisäys: Firefox Developers samankaltainen ratkaisu, eikä se jaa erikseen EV-varmenteita osoitekannassa Firefox 70:n julkaisusta alkaen. Firefox 70:ssä on myös HTTPS- ja HTTP-protokollien näyttö osoitepalkissa.
Lähde: opennet.ru