Google överge den separata märkningen av EV-nivåcertifikat () i Chrome. Om tidigare för webbplatser med liknande certifikat namnet på företaget som verifierats av certifieringscentret visades i adressfältet, nu för dessa webbplatser samma indikator på en säker anslutning som för certifikat med domänåtkomstverifiering.
Från och med Chrome 77 kommer information om användningen av EV-certifikat endast att visas i rullgardinsmenyn som visas när du klickar på ikonen för säker anslutning. Under 2018 tog Apple ett liknande beslut för webbläsaren Safari och implementerade det i versionerna av iOS 12 och macOS 10.14. Låt oss komma ihåg att EV-certifikat bekräftar de angivna identifieringsparametrarna och kräver att ett certifieringscenter verifierar dokument som bekräftar domänägandet och den fysiska närvaron av ägaren av resursen.
En Google-studie fann att indikatorn som tidigare använts för EV-certifikat inte gav det förväntade skyddet för användare som inte uppmärksammade skillnaden och inte använde den när de fattade beslut om att lägga in känslig data på webbplatser. Spenderat på Google visade att 85 % av användarna inte hindrades från att ange sina autentiseringsuppgifter av närvaron av "accounts.google.com.amp.tinyurl.com" i URL-fältet istället för "accounts.google.com" om sidan visade en typisk Google webbplatsens gränssnitt.
För att väcka förtroende för sajten hos de flesta användare räckte det bara att göra sidan lik originalet. Som ett resultat drogs slutsatsen att positiva säkerhetsindikatorer inte är effektiva och det är värt att fokusera på att organisera produktionen av uttryckliga varningar om problem. Till exempel har ett liknande schema nyligen använts för HTTP-anslutningar som är tydligt markerade som osäkra.
Samtidigt tar informationen som visas för EV-certifikat för mycket plats i adressfältet, kan leda till ytterligare förvirring när man ser företagsnamnet i webbläsargränssnittet och bryter även mot principen om produktneutralitet och för nätfiske. Till exempel utfärdade Symantecs certifieringsmyndighet ett EV-certifikat till företaget "Identity Verified", vars namn var vilseledande för användarna, särskilt när det riktiga namnet på den offentliga domänen inte passade in i adressfältet:
Tillägg: Firefox-utvecklare en liknande lösning och kommer inte att separat tilldela EV-certifikat i adressbeståndet från och med lanseringen av Firefox 70. I Firefox 70 kommer det också att finnas visning av HTTPS- och HTTP-protokoll i adressfältet.
Källa: opennet.ru