Google forlate den separate merkingen av EV-nivåsertifikater () i Chrome. Hvis tidligere for nettsteder med lignende sertifikater navnet på selskapet bekreftet av sertifiseringssenteret ble vist i adressefeltet, nå for disse nettstedene samme indikator for sikker tilkobling som for sertifikater med verifisering av domenetilgang.
Fra og med Chrome 77 vil informasjon om bruk av EV-sertifikater kun vises i rullegardinmenyen som vises når du klikker på ikonet for sikker tilkobling. I 2018 tok Apple en lignende beslutning for Safari-nettleseren og implementerte den i utgivelsene av iOS 12 og macOS 10.14. La oss huske at EV-sertifikater bekrefter de angitte identifikasjonsparametrene og krever at et sertifiseringssenter bekrefter dokumenter som bekrefter domeneeierskap og den fysiske tilstedeværelsen til eieren av ressursen.
En Google-studie fant at indikatoren som tidligere ble brukt for EV-sertifikater ikke ga den forventede beskyttelsen for brukere som ikke tok hensyn til forskjellen og ikke brukte den når de tok beslutninger om å legge inn sensitive data på nettsteder. Brukt på Google viste at 85 % av brukerne ikke ble stoppet fra å skrive inn legitimasjonen sin av tilstedeværelsen i adressefeltet til nettadressen "accounts.google.com.amp.tinyurl.com" i stedet for "accounts.google.com", hvis siden vises et typisk Google-nettstedsgrensesnitt.
For å skape tillit til nettstedet blant de fleste brukere, var det nok bare å gjøre siden lik originalen. Som et resultat ble det konkludert med at positive sikkerhetsindikatorer ikke er effektive, og det er verdt å fokusere på å organisere produksjonen av eksplisitte advarsler om problemer. For eksempel har et lignende opplegg nylig blitt brukt for HTTP-tilkoblinger som er tydelig merket som usikre.
Samtidig tar informasjonen som vises for EV-sertifikater for mye plass i adressefeltet, kan føre til ytterligere forvirring når du ser firmanavnet i nettlesergrensesnittet, og bryter også med prinsippet om produktnøytralitet og for phishing. For eksempel utstedte Symantecs sertifiseringsmyndighet et EV-sertifikat til selskapet «Identity Verified», hvis navn var villedende for brukere, spesielt når det virkelige navnet på det offentlige domenet ikke passet inn i adressefeltet:
Tillegg: Firefox-utviklere en lignende løsning og vil ikke separat tildele EV-sertifikater i adresselageret fra og med utgivelsen av Firefox 70. I Firefox 70 vil det også være visning av HTTPS- og HTTP-protokoller i adressefeltet.
Kilde: opennet.ru