Google zrezygnować z odrębnego oznaczania certyfikatów poziomu EV () w Chrome. Jeśli wcześniej dla witryn z podobnymi certyfikatami w pasku adresu wyświetlała się nazwa firmy zweryfikowanej przez centrum certyfikacji, teraz dla tych witryn ten sam wskaźnik bezpiecznego połączenia, co w przypadku certyfikatów z weryfikacją dostępu do domeny.
Począwszy od przeglądarki Chrome 77, informacje o korzystaniu z certyfikatów EV będą wyświetlane wyłącznie w menu rozwijanym wyświetlanym po kliknięciu ikony bezpiecznego połączenia. W 2018 roku Apple podjął podobną decyzję w przypadku przeglądarki Safari i zaimplementował ją w wersjach iOS 12 i macOS 10.14. Przypomnijmy, że certyfikaty EV potwierdzają podane parametry identyfikacyjne i wymagają od centrum certyfikacji weryfikacji dokumentów potwierdzających własność domeny i fizyczną obecność właściciela zasobu.
Badanie Google wykazało, że wskaźnik stosowany dotychczas w przypadku certyfikatów EV nie zapewniał oczekiwanej ochrony użytkownikom, którzy nie zwracali uwagi na różnicę i nie korzystali z niego przy podejmowaniu decyzji o wprowadzaniu wrażliwych danych na stronach. Wydane w Google pokazało, że 85% użytkowników nie zostało powstrzymanych przed wprowadzeniem swoich danych uwierzytelniających obecność w pasku adresu adresu URL „accounts.google.com.amp.tinyurl.com” zamiast „accounts.google.com”, jeśli strona wyświetla typowy interfejs witryny Google.
Aby wzbudzić zaufanie do serwisu wśród większości użytkowników, wystarczyło po prostu upodobnić stronę do oryginału. W rezultacie stwierdzono, że pozytywne wskaźniki bezpieczeństwa nie są skuteczne i warto skupić się na uporządkowaniu wyjścia jednoznacznych ostrzeżeń o problemach. Przykładowo podobny schemat zastosowano ostatnio w przypadku połączeń HTTP, które są wyraźnie oznaczone jako niebezpieczne.
Jednocześnie informacja wyświetlana przy certyfikatach EV zajmuje zbyt dużo miejsca w pasku adresu, może wprowadzić dodatkowe zamieszanie przy zobaczeniu nazwy firmy w interfejsie przeglądarki, a także narusza zasadę neutralności produktu i za phishing. Przykładowo urząd certyfikacji Symantec wydał certyfikat EV firmie „Identity Verified”, której nazwa wprowadzała użytkowników w błąd, zwłaszcza gdy prawdziwa nazwa domeny publicznej nie mieściła się w pasku adresu:
Dodatek: Programiści Firefoksa podobne rozwiązanie i nie będzie oddzielnie przydzielać certyfikatów EV w magazynie adresowym począwszy od wydania Firefoksa 70. W Firefoksie 70 nie będzie także wyświetlanie protokołów HTTPS i HTTP w pasku adresu.
Źródło: opennet.ru