Google abandonner le marquage séparé des certificats de niveau EV () dans Chrome. Si auparavant pour les sites dotés de certificats similaires le nom de l'entreprise vérifiée par le centre de certification était affiché dans la barre d'adresse, désormais pour ces sites le même indicateur de connexion sécurisée que pour les certificats avec vérification d'accès au domaine.
À partir de Chrome 77, les informations sur l'utilisation des certificats EV ne seront affichées que dans le menu déroulant affiché lorsque vous cliquez sur l'icône de connexion sécurisée. En 2018, Apple a pris une décision similaire pour le navigateur Safari et l'a implémentée dans les versions iOS 12 et macOS 10.14. Rappelons que les certificats EV confirment les paramètres d'identification indiqués et nécessitent qu'un centre de certification vérifie les documents confirmant la propriété du domaine et la présence physique du propriétaire de la ressource.
Une étude de Google a révélé que l'indicateur précédemment utilisé pour les certificats EV n'offrait pas la protection attendue aux utilisateurs qui ne prêtaient pas attention à la différence et ne l'utilisaient pas pour prendre des décisions concernant la saisie de données sensibles sur les sites. Dépensé sur Google a montré que 85 % des utilisateurs n'étaient pas empêchés de saisir leurs identifiants par la présence dans la barre d'adresse de l'URL « accounts.google.com.amp.tinyurl.com » au lieu de « accounts.google.com », si la page affiche une interface de site Google typique.
Afin d'inspirer confiance dans le site à la plupart des utilisateurs, il suffisait simplement de rendre la page similaire à l'originale. En conséquence, il a été conclu que les indicateurs de sécurité positifs ne sont pas efficaces et qu'il vaut la peine de se concentrer sur l'organisation de la production d'avertissements explicites sur les problèmes. Par exemple, un schéma similaire a récemment été utilisé pour les connexions HTTP clairement marquées comme non sécurisées.
Dans le même temps, les informations affichées pour les certificats EV occupent trop de place dans la barre d'adresse, peuvent entraîner une confusion supplémentaire lors de la visualisation du nom de l'entreprise dans l'interface du navigateur et violent également le principe de neutralité du produit et pour le phishing. Par exemple, l'autorité de certification Symantec a délivré un certificat EV à la société « Identity Verified », dont le nom était trompeur pour les utilisateurs, notamment lorsque le vrai nom du domaine public ne rentrait pas dans la barre d'adresse :
Ajout : développeurs Firefox une solution similaire et n'attribuera pas séparément les certificats EV dans le stock d'adresses à partir de la sortie de Firefox 70. Dans Firefox 70, il y aura également affichage des protocoles HTTPS et HTTP dans la barre d'adresse.
Source: opennet.ru