Google abbandonare la marcatura separata dei certificati di livello EV () in Cromo. Se prima per i siti con certificati simili veniva visualizzato nella barra degli indirizzi il nome dell'azienda verificata dal centro di certificazione, ora per questi siti lo stesso indicatore di connessione sicura dei certificati con verifica dell'accesso al dominio.
A partire da Chrome 77, le informazioni sull'utilizzo dei certificati EV verranno visualizzate solo nel menu a discesa mostrato quando si fa clic sull'icona di connessione sicura. Nel 2018, Apple ha preso una decisione simile per il browser Safari e l'ha implementata nelle versioni iOS 12 e macOS 10.14. Ricordiamo che i certificati EV confermano i parametri identificativi dichiarati e richiedono che un centro di certificazione verifichi i documenti che confermano la proprietà del dominio e la presenza fisica del proprietario della risorsa.
Da uno studio di Google è emerso che l'indicatore precedentemente utilizzato per i certificati EV non forniva la protezione attesa per gli utenti che non prestavano attenzione alla differenza e non lo utilizzavano quando prendevano decisioni sull'immissione di dati sensibili sui siti. Speso su Google ha dimostrato che all'85% degli utenti non è stato impedito di inserire le proprie credenziali dalla presenza nella barra degli indirizzi dell'URL “accounts.google.com.amp.tinyurl.com” invece di “accounts.google.com”, se la pagina viene visualizzata una tipica interfaccia del sito Google.
Per ispirare fiducia nel sito tra la maggior parte degli utenti, è bastato rendere la pagina simile all'originale. Di conseguenza, si è concluso che gli indicatori positivi di sicurezza non sono efficaci e vale la pena concentrarsi sull’organizzazione della produzione di avvertimenti espliciti sui problemi. Ad esempio, uno schema simile è stato recentemente utilizzato per le connessioni HTTP chiaramente contrassegnate come non sicure.
Allo stesso tempo, le informazioni visualizzate per i certificati EV occupano troppo spazio nella barra degli indirizzi, possono creare ulteriore confusione quando si vede il nome dell'azienda nell'interfaccia del browser e violano anche il principio della neutralità del prodotto e per phishing. Ad esempio, l'autorità di certificazione Symantec ha rilasciato alla società "Identity Verified" un certificato EV, il cui nome era fuorviante per gli utenti, soprattutto quando il vero nome del dominio pubblico non rientrava nella barra degli indirizzi:
Aggiunta: sviluppatori Firefox una soluzione simile e non assegnerà separatamente i certificati EV nella riserva di indirizzi a partire dal rilascio di Firefox 70. In Firefox 70 ci saranno anche visualizzazione dei protocolli HTTPS e HTTP nella barra degli indirizzi.
Fonte: opennet.ru