Google mengabaikan penandaan terpisah pada sertifikat tingkat EV () di Chrome. Jika sebelumnya untuk situs dengan sertifikat serupa nama perusahaan yang diverifikasi oleh pusat sertifikasi ditampilkan di bilah alamat, sekarang untuk situs tersebut indikator koneksi aman yang sama seperti untuk sertifikat dengan verifikasi akses domain.
Dimulai dengan Chrome 77, informasi tentang penggunaan sertifikat EV hanya akan ditampilkan di menu drop-down yang ditampilkan saat Anda mengklik ikon koneksi aman. Pada tahun 2018, Apple membuat keputusan serupa untuk browser Safari dan menerapkannya di rilis iOS 12 dan macOS 10.14. Ingatlah bahwa sertifikat EV mengonfirmasi parameter identifikasi yang dinyatakan dan memerlukan pusat sertifikasi untuk memverifikasi dokumen yang mengonfirmasi kepemilikan domain dan keberadaan fisik pemilik sumber daya.
Sebuah studi Google menemukan bahwa indikator yang sebelumnya digunakan untuk sertifikat EV tidak memberikan perlindungan yang diharapkan bagi pengguna yang tidak memperhatikan perbedaannya dan tidak menggunakannya saat mengambil keputusan tentang memasukkan data sensitif ke situs. Dihabiskan di Google menunjukkan bahwa 85% pengguna tidak dihentikan memasukkan kredensial mereka dengan adanya βaccounts.google.com.amp.tinyurl.comβ di bilah URL, bukan βaccounts.google.comβ jika laman menampilkan tampilan khas Google antarmuka situs.
Untuk membangkitkan kepercayaan terhadap situs di antara sebagian besar pengguna, cukup membuat halaman serupa dengan aslinya. Sebagai hasilnya, disimpulkan bahwa indikator keamanan positif tidaklah efektif dan ada gunanya memusatkan perhatian pada pengorganisasian keluaran peringatan eksplisit mengenai masalah. Misalnya, skema serupa baru-baru ini digunakan untuk koneksi HTTP yang secara jelas ditandai sebagai tidak aman.
Pada saat yang sama, informasi yang ditampilkan untuk sertifikat EV memakan terlalu banyak ruang di bilah alamat, dapat menambah kebingungan saat melihat nama perusahaan di antarmuka browser, dan juga melanggar prinsip netralitas produk dan untuk phishing. Misalnya, otoritas sertifikasi Symantec mengeluarkan sertifikat EV kepada perusahaan βIdentity Verifiedβ, yang namanya menyesatkan pengguna, terutama ketika nama asli domain publik tidak sesuai dengan bilah alamat:
Tambahan: Pengembang Firefox solusi serupa dan tidak akan mengalokasikan sertifikat EV secara terpisah di stok alamat mulai dengan rilis Firefox 70. Di Firefox 70 juga akan ada tampilan protokol HTTPS dan HTTP di bilah alamat.
Sumber: opennet.ru