Google upustiť od samostatného označovania certifikátov úrovne EV () v prehliadači Chrome. Ak sa predtým pre stránky s podobnými certifikátmi v paneli s adresou zobrazoval názov spoločnosti overenej certifikačným centrom, teraz pre tieto stránky rovnaký indikátor bezpečného pripojenia ako pri certifikátoch s overením prístupu k doméne.
Počnúc verziou Chrome 77 sa informácie o používaní certifikátov EV zobrazia iba v rozbaľovacej ponuke, ktorá sa zobrazí po kliknutí na ikonu zabezpečeného pripojenia. V roku 2018 urobil Apple podobné rozhodnutie pre prehliadač Safari a implementoval ho do verzií iOS 12 a macOS 10.14. Pripomeňme, že EV certifikáty potvrdzujú uvedené identifikačné parametre a vyžadujú certifikačné centrum na overenie dokumentov potvrdzujúcich vlastníctvo domény a fyzickú prítomnosť vlastníka zdroja.
Štúdia Google zistila, že indikátor predtým používaný pre EV certifikáty neposkytoval očakávanú ochranu pre používateľov, ktorí nevenovali pozornosť rozdielom a nepoužívali ho pri rozhodovaní o zadávaní citlivých údajov na stránky. Minuté na Googli ukázali, že 85 % používateľov nezabránilo zadávať svoje prihlasovacie údaje tým, že v paneli s adresou sa nachádzala adresa URL „accounts.google.com.amp.tinyurl.com“ namiesto „accounts.google.com“, ak sa na stránke zobrazuje typické rozhranie stránky Google.
Na vzbudenie dôvery k stránke u väčšiny používateľov stačilo, aby bola stránka podobná originálu. V dôsledku toho sa dospelo k záveru, že pozitívne bezpečnostné ukazovatele nie sú účinné a stojí za to zamerať sa na organizáciu výstupu explicitných upozornení na problémy. Podobná schéma sa napríklad nedávno použila pre pripojenia HTTP, ktoré sú jasne označené ako nezabezpečené.
Informácie zobrazené pre certifikáty EV zároveň zaberajú príliš veľa miesta v adresnom riadku, môžu viesť k ďalšiemu zmätku pri zobrazení názvu spoločnosti v rozhraní prehliadača a tiež porušujú princíp produktovej neutrality a pre phishing. Napríklad certifikačná autorita Symantec vydala certifikát EV spoločnosti „Identity Verified“, ktorého názov bol pre používateľov zavádzajúci, najmä ak sa skutočný názov verejnej domény nezmestil do panela s adresou:
Dodatok: Vývojári Firefoxu podobné riešenie a nebude samostatne prideľovať EV certifikáty v adresnom sklade počnúc vydaním Firefoxu 70. Vo Firefoxe 70 bude zobrazenie protokolov HTTPS a HTTP v paneli s adresou.
Zdroj: opennet.ru