Google abandonați marcarea separată a certificatelor de nivel EV () în Chrome. Dacă anterior pentru site-uri cu certificate similare în bara de adrese era afișat numele companiei verificate de centrul de certificare, acum pentru aceste site-uri același indicator al unei conexiuni securizate ca și pentru certificatele cu verificarea accesului la domeniu.
Începând cu Chrome 77, informațiile despre utilizarea certificatelor EV vor fi afișate doar în meniul derulant afișat atunci când dați clic pe pictograma de conexiune securizată. În 2018, Apple a luat o decizie similară pentru browserul Safari și a implementat-o în versiunile iOS 12 și macOS 10.14. Să ne amintim că certificatele EV confirmă parametrii de identificare declarați și necesită un centru de certificare pentru a verifica documentele care confirmă proprietatea domeniului și prezența fizică a proprietarului resursei.
Un studiu Google a constatat că indicatorul folosit anterior pentru certificatele EV nu a oferit protecția așteptată utilizatorilor care nu au acordat atenție diferenței și nu l-au folosit atunci când iau decizii privind introducerea datelor sensibile pe site-uri. Cheltuit pe Google a arătat că 85% dintre utilizatori nu au fost împiedicați să-și introducă acreditările prin prezența în bara de adrese a adresei URL „accounts.google.com.amp.tinyurl.com” în loc de „accounts.google.com”, dacă pagina este afișată o interfață tipică a site-ului Google.
Pentru a inspira încredere în site în rândul majorității utilizatorilor, a fost suficient doar să facem pagina similară cu originalul. Drept urmare, sa concluzionat că indicatorii pozitivi de securitate nu sunt eficienți și merită să ne concentrăm pe organizarea ieșirii avertismentelor explicite despre probleme. De exemplu, o schemă similară a fost folosită recent pentru conexiunile HTTP care sunt marcate în mod clar ca nesigure.
În același timp, informațiile afișate pentru certificatele EV ocupă prea mult spațiu în bara de adrese, pot duce la confuzie suplimentară atunci când vezi numele companiei în interfața browserului și, de asemenea, încalcă principiul neutralității produsului și pentru phishing. De exemplu, autoritatea de certificare Symantec a emis un certificat EV companiei „Identity Verified”, al cărui nume era înșelător pentru utilizatori, mai ales când numele real al domeniului public nu se încadra în bara de adrese:
Adăugare: Dezvoltatori Firefox o soluție similară și nu va aloca separat certificate EV în stocul de adrese începând cu lansarea Firefox 70. În Firefox 70 vor exista și afișarea protocoalelor HTTPS și HTTP în bara de adrese.
Sursa: opennet.ru