Google braktisni shënimin e veçantë të certifikatave të nivelit EV () në Chrome. Nëse më parë për faqet me certifikata të ngjashme shfaqej në shiritin e adresave emri i kompanisë së verifikuar nga qendra e certifikimit, tani për këto sajte i njëjti tregues i një lidhjeje të sigurt si për certifikatat me verifikimin e hyrjes në domen.
Duke filluar me Chrome 77, informacioni rreth përdorimit të certifikatave EV do të shfaqet vetëm në menynë rënëse që shfaqet kur klikoni në ikonën e lidhjes së sigurt. Në vitin 2018, Apple mori një vendim të ngjashëm për shfletuesin Safari dhe e zbatoi atë në versionet e iOS 12 dhe macOS 10.14. Le të kujtojmë se certifikatat EV konfirmojnë parametrat e deklaruar të identifikimit dhe kërkojnë një qendër certifikimi për të verifikuar dokumentet që konfirmojnë pronësinë e domenit dhe praninë fizike të pronarit të burimit.
Një studim i Google zbuloi se treguesi i përdorur më parë për certifikatat EV nuk ofronte mbrojtjen e pritur për përdoruesit që nuk i kushtuan vëmendje ndryshimit dhe nuk e përdornin atë kur merrnin vendime për futjen e të dhënave të ndjeshme në sajte. Shpenzuar në Google tregoi se 85% e përdoruesve nuk u ndaluan të futnin kredencialet e tyre nga prania e "accounts.google.com.amp.tinyurl.com" në shiritin e URL-së në vend të "accounts.google.com" nëse faqja shfaqte një Google tipik ndërfaqja e faqes.
Për të frymëzuar besimin në sit në mesin e shumicës së përdoruesve, mjaftonte vetëm ta bënim faqen të ngjashme me origjinalin. Si rezultat, u konkludua se treguesit pozitivë të sigurisë nuk janë efektivë dhe ia vlen të fokusohemi në organizimin e daljes së paralajmërimeve të qarta për problemet. Për shembull, një skemë e ngjashme është përdorur kohët e fundit për lidhjet HTTP që janë shënuar qartë si të pasigurta.
Në të njëjtën kohë, informacioni i shfaqur për certifikatat EV zë shumë hapësirë në shiritin e adresave, mund të çojë në konfuzion shtesë kur shihni emrin e kompanisë në ndërfaqen e shfletuesit, dhe gjithashtu shkel parimin e neutralitetit të produktit dhe për phishing. Për shembull, autoriteti i certifikimit Symantec lëshoi një certifikatë EV për kompaninë "Identity Verified", emri i së cilës ishte mashtrues për përdoruesit, veçanërisht kur emri i vërtetë i domenit publik nuk futej në shiritin e adresave:
Shtim: Zhvilluesit e Firefox-it një zgjidhje e ngjashme dhe nuk do të ndajë veçmas certifikatat EV në stokun e adresave duke filluar me lëshimin e Firefox 70. Në Firefox 70 do të ketë gjithashtu shfaqja e protokolleve HTTPS dhe HTTP në shiritin e adresave.
Burimi: opennet.ru