Google afzien van de afzonderlijke markering van EV-niveaucertificaten () in Chroom. Als voorheen voor sites met soortgelijke certificaten de naam van het door het certificeringscentrum geverifieerde bedrijf in de adresbalk werd weergegeven, nu voor deze sites dezelfde indicator van een beveiligde verbinding als voor certificaten met verificatie van domeintoegang.
Vanaf Chrome 77 wordt informatie over het gebruik van EV-certificaten alleen weergegeven in het vervolgkeuzemenu dat wordt weergegeven wanneer u op het pictogram voor beveiligde verbinding klikt. In 2018 nam Apple een soortgelijke beslissing voor de Safari-browser en implementeerde deze in de releases van iOS 12 en macOS 10.14. Laten we niet vergeten dat EV-certificaten de vermelde identificatieparameters bevestigen en een certificeringscentrum vereisen om documenten te verifiëren die het domeineigendom en de fysieke aanwezigheid van de eigenaar van de bron bevestigen.
Uit een onderzoek van Google bleek dat de indicator die voorheen werd gebruikt voor EV-certificaten niet de verwachte bescherming bood voor gebruikers die geen aandacht schonken aan het verschil en deze niet gebruikten bij het nemen van beslissingen over het invoeren van gevoelige gegevens op sites. Besteed aan Google toonde aan dat 85% van de gebruikers er niet van werd weerhouden hun inloggegevens in te voeren door de aanwezigheid in de adresbalk van de URL “accounts.google.com.amp.tinyurl.com” in plaats van “accounts.google.com”, als de pagina wordt weergegeven een typische Google-site-interface.
Om bij de meeste gebruikers vertrouwen in de site te wekken, volstond het om de pagina vergelijkbaar te maken met het origineel. Als gevolg hiervan werd geconcludeerd dat positieve veiligheidsindicatoren niet effectief zijn en dat het de moeite waard is om te focussen op het organiseren van de output van expliciete waarschuwingen over problemen. Een soortgelijk schema is onlangs bijvoorbeeld gebruikt voor HTTP-verbindingen die duidelijk als onveilig zijn gemarkeerd.
Tegelijkertijd neemt de informatie die wordt weergegeven voor EV-certificaten te veel ruimte in beslag in de adresbalk, kan dit tot extra verwarring leiden bij het zien van de bedrijfsnaam in de browserinterface en is het ook in strijd met het principe van productneutraliteit en voor phishing. De certificeringsinstantie van Symantec heeft bijvoorbeeld een EV-certificaat afgegeven aan het bedrijf ‘Identity Verified’, waarvan de naam misleidend was voor gebruikers, vooral wanneer de echte naam van het publieke domein niet in de adresbalk paste:
Toevoeging: Firefox-ontwikkelaars een vergelijkbare oplossing en zal vanaf de release van Firefox 70 geen EV-certificaten afzonderlijk toewijzen aan de adressenvoorraad. In Firefox 70 zullen er ook weergave van HTTPS- en HTTP-protocollen in de adresbalk.
Bron: opennet.ru