Google afzien van de afzonderlijke markering van EV-niveaucertificaten () in Chroom. Als voorheen voor sites met soortgelijke certificaten de naam van het door het certificeringscentrum geverifieerde bedrijf in de adresbalk werd weergegeven, nu voor deze sites dezelfde indicator van een beveiligde verbinding als voor certificaten met verificatie van domeintoegang.
Начиная с Chrome 77 информация о применении EV-сертификатов будет отображаться только в выпадающем меню, показываемом при клике на значок защищённого соединения. В 2018 году аналогичное решение приняла компания Apple для браузера Safari и воплотила его в выпусках iOS 12 и macOS 10.14. Напомним, что EV-сертификаты подтверждают заявленные параметры идентификации и требуют проведения удостоверяющим центром проверки документов о принадлежности домена и физическое присутствие владельца ресурса.
Uit een onderzoek van Google bleek dat de indicator die voorheen werd gebruikt voor EV-certificaten niet de verwachte bescherming bood voor gebruikers die geen aandacht schonken aan het verschil en deze niet gebruikten bij het nemen van beslissingen over het invoeren van gevoelige gegevens op sites. Besteed aan Google toonde aan dat 85% van de gebruikers er niet van werd weerhouden hun inloggegevens in te voeren door de aanwezigheid in de adresbalk van de URL “accounts.google.com.amp.tinyurl.com” in plaats van “accounts.google.com”, als de pagina wordt weergegeven een typische Google-site-interface.
Om bij de meeste gebruikers vertrouwen in de site te wekken, volstond het om de pagina vergelijkbaar te maken met het origineel. Als gevolg hiervan werd geconcludeerd dat positieve veiligheidsindicatoren niet effectief zijn en dat het de moeite waard is om te focussen op het organiseren van de output van expliciete waarschuwingen over problemen. Een soortgelijk schema is onlangs bijvoorbeeld gebruikt voor HTTP-verbindingen die duidelijk als onveilig zijn gemarkeerd.
Tegelijkertijd neemt de informatie die wordt weergegeven voor EV-certificaten te veel ruimte in beslag in de adresbalk, kan dit tot extra verwarring leiden bij het zien van de bedrijfsnaam in de browserinterface en is het ook in strijd met het principe van productneutraliteit en voor phishing. De certificeringsinstantie van Symantec heeft bijvoorbeeld een EV-certificaat afgegeven aan het bedrijf ‘Identity Verified’, waarvan de naam misleidend was voor gebruikers, vooral wanneer de echte naam van het publieke domein niet in de adresbalk paste:
Toevoeging: Firefox-ontwikkelaars een vergelijkbare oplossing en zal vanaf de release van Firefox 70 geen EV-certificaten afzonderlijk toewijzen aan de adressenvoorraad. In Firefox 70 zullen er ook weergave van HTTPS- en HTTP-protocollen in de adresbalk.
Bron: opennet.ru
