Google abandonar a marcação separada dos certificados de nível EV () no Chrome. Se antes para sites com certificados semelhantes o nome da empresa verificada pelo centro de certificação era exibido na barra de endereço, agora para esses sites o mesmo indicador de conexão segura que para certificados com verificação de acesso de domínio.
A partir do Chrome 77, as informações sobre o uso de certificados EV serão exibidas apenas no menu suspenso exibido quando você clica no ícone de conexão segura. Em 2018, a Apple tomou uma decisão semelhante para o navegador Safari e implementou-o nas versões iOS 12 e macOS 10.14. Recorde-se que os certificados EV confirmam os parâmetros de identificação declarados e requerem um centro de certificação para verificar os documentos que confirmam a propriedade do domínio e a presença física do proprietário do recurso.
Um estudo do Google descobriu que o indicador usado anteriormente para certificados EV não fornecia a proteção esperada para usuários que não prestavam atenção à diferença e não o utilizavam na tomada de decisões sobre a inserção de dados confidenciais em sites. Gasto no Google mostrou que 85% dos usuários não foram impedidos de inserir suas credenciais pela presença de “accounts.google.com.amp.tinyurl.com” na barra de URL em vez de “accounts.google.com” se a página exibisse um típico Google interface do site.
Para inspirar confiança no site à maioria dos usuários, bastava deixar a página semelhante à original. Como resultado, concluiu-se que os indicadores positivos de segurança não são eficazes e vale a pena focar na organização da produção de alertas explícitos sobre problemas. Por exemplo, um esquema semelhante foi usado recentemente para conexões HTTP claramente marcadas como inseguras.
Ao mesmo tempo, as informações exibidas para certificados EV ocupam muito espaço na barra de endereço, podem causar confusão adicional ao ver o nome da empresa na interface do navegador, e também violam o princípio da neutralidade do produto e para phishing. Por exemplo, a autoridade de certificação da Symantec emitiu um certificado EV para a empresa “Identity Verified”, cujo nome era enganoso para os usuários, especialmente quando o nome real do domínio público não cabia na barra de endereço:
Adição: Desenvolvedores do Firefox uma solução semelhante e não alocará certificados EV separadamente no estoque de endereços a partir do lançamento do Firefox 70. No Firefox 70 também haverá exibição de protocolos HTTPS e HTTP na barra de endereço.
Fonte: opennet.ru