Google abandonar o marcado separado dos certificados de nivel EV () en Chrome. Se antes, para sitios con certificados similares, o nome da empresa verificada polo centro de certificación se mostraba na barra de enderezos, agora para estes sitios o mesmo indicador de conexión segura que para os certificados con verificación de acceso ao dominio.
A partir de Chrome 77, a información sobre o uso dos certificados EV só se mostrará no menú despregable que se mostra ao facer clic na icona de conexión segura. En 2018, Apple tomou unha decisión similar para o navegador Safari e implementouno nas versións de iOS 12 e macOS 10.14. Lembremos que os certificados EV confirman os parámetros de identificación indicados e requiren que un centro de certificación verifique os documentos que confirman a propiedade do dominio e a presenza física do propietario do recurso.
Un estudo de Google descubriu que o indicador utilizado anteriormente para os certificados de vehículos eléctricos non proporcionaba a protección esperada para os usuarios que non prestaban atención á diferenza e non o utilizaban á hora de tomar decisións sobre a entrada de datos confidenciais nos sitios. Gasto en Google mostrou que ao 85% dos usuarios non se lles impediu introducir as súas credenciais pola presenza na barra de enderezos do URL "accounts.google.com.amp.tinyurl.com" en lugar de "accounts.google.com", se a páxina aparece unha interface típica do sitio de Google.
Para inspirar confianza no sitio entre a maioría dos usuarios, bastaba con facer a páxina semellante á orixinal. Como resultado, concluíuse que os indicadores de seguridade positivos non son efectivos e paga a pena centrarse en organizar a saída de advertencias explícitas sobre problemas. Por exemplo, recentemente utilizouse un esquema similar para conexións HTTP que están claramente marcadas como inseguras.
Ao mesmo tempo, a información que se mostra para os certificados EV ocupa demasiado espazo na barra de enderezos, pode provocar confusión adicional ao ver o nome da empresa na interface do navegador e tamén infrinxe o principio de neutralidade do produto e para phishing. Por exemplo, a autoridade de certificación de Symantec emitiu un certificado EV á empresa "Identity Verified", cuxo nome era enganoso para os usuarios, especialmente cando o nome real do dominio público non cabía na barra de enderezos:
Adición: Firefox Developers unha solución similar e non asignará certificados EV por separado no stock de enderezos a partir do lanzamento de Firefox 70. En Firefox 70 tamén haberá visualización dos protocolos HTTPS e HTTP na barra de enderezos.
Fonte: opennet.ru