Google el kell hagyni az EV szintű tanúsítványok külön jelölését () Chrome-ban. Ha korábban a hasonló tanúsítvánnyal rendelkező webhelyek esetében a hitelesítési központ által ellenőrzött cég neve jelent meg a címsorban, most ezeknél a webhelyeknél ugyanaz a biztonságos kapcsolat jelzője, mint a tartományi hozzáférés-ellenőrzéssel rendelkező tanúsítványoknál.
A Chrome 77-től kezdve az EV-tanúsítványok használatával kapcsolatos információk csak a biztonságos kapcsolat ikonra kattintva megjelenő legördülő menüben jelennek meg. 2018-ban az Apple hasonló döntést hozott a Safari böngészővel kapcsolatban, és bevezette az iOS 12 és a macOS 10.14 kiadásaiba. Emlékezzünk vissza, hogy az EV-tanúsítványok megerősítik a megadott azonosítási paramétereket, és hitelesítési központot igényelnek a domain tulajdonjogát és az erőforrás tulajdonosának fizikai jelenlétét igazoló dokumentumok ellenőrzéséhez.
A Google tanulmánya szerint a korábban az EV-tanúsítványokhoz használt mutató nem nyújtotta az elvárt védelmet azoknak a felhasználóknak, akik nem figyeltek a különbségre, és nem is használták azt, amikor az oldalakon érzékeny adatok beviteléről döntöttek. Google-ra költött azt mutatta, hogy a felhasználók 85%-át nem akadályozta meg a hitelesítési adatok megadása az „accounts.google.com.amp.tinyurl.com” URL címsorában az „accounts.google.com” helyett, ha az oldal megjelenik. egy tipikus Google webhely felület.
Ahhoz, hogy a legtöbb felhasználó bizalmat keltsen az oldal iránt, elég volt az oldalt az eredetihez hasonlóvá tenni. Ennek eredményeként arra a következtetésre jutottunk, hogy a pozitív biztonsági mutatók nem hatékonyak, és érdemes a problémákkal kapcsolatos kifejezett figyelmeztetések kimenetének megszervezésére koncentrálni. Például a közelmúltban hasonló sémát használtak az egyértelműen nem biztonságosként megjelölt HTTP-kapcsolatokhoz.
Ugyanakkor az EV-tanúsítványokhoz megjelenített információk túl sok helyet foglalnak el a címsorban, további zavart okozhatnak a cégnév láttán a böngésző felületén, valamint sértik a terméksemlegesség elvét, ill. adathalászatért. Például a Symantec tanúsító hatóság EV-tanúsítványt adott ki az „Identity Verified” cégnek, amelynek neve félrevezető volt a felhasználók számára, különösen akkor, ha a nyilvános domain valódi neve nem fért be a címsorba:
Kiegészítés: Firefox fejlesztők hasonló megoldás, és a Firefox 70 megjelenésétől kezdve nem osztja ki külön az EV-tanúsítványokat a címkészletben. A Firefox 70-ben szintén HTTPS és HTTP protokollok megjelenítése a címsorban.
Forrás: opennet.ru