Google EV seviyesi sertifikalarının ayrı olarak işaretlenmesinden vazgeçin () Chrome'da. Daha önce benzer sertifikalara sahip sitelerin adres çubuğunda sertifika merkezi tarafından doğrulanan şirketin adı görüntüleniyordu, artık bu siteler için Etki alanı erişim doğrulaması olan sertifikalarla aynı güvenli bağlantı göstergesi.
Chrome 77'den başlayarak, EV sertifikalarının kullanımına ilişkin bilgiler yalnızca güvenli bağlantı simgesine tıkladığınızda gösterilen açılır menüde görüntülenecektir. Apple, 2018 yılında Safari tarayıcısı için de benzer bir karar almış ve bunu iOS 12 ve macOS 10.14 sürümlerinde uygulamıştı. EV sertifikalarının belirtilen tanımlama parametrelerini doğruladığını ve alan adı sahipliğini ve kaynak sahibinin fiziksel varlığını doğrulayan belgeleri doğrulamak için bir sertifika merkezi gerektirdiğini hatırlayalım.
Google tarafından yapılan bir araştırmada, daha önce EV sertifikaları için kullanılan göstergenin, aradaki farka dikkat etmeyen ve sitelere hassas veri girme konusunda karar alırken kullanmayan kullanıcılar için beklenen korumayı sağlamadığı ortaya çıktı. Google'da harcanan sayfa görüntülendiğinde, adres çubuğunda "accounts.google.com" yerine "accounts.google.com.amp.tinyurl.com" URL'sinin bulunması nedeniyle kullanıcıların %85'inin kimlik bilgilerini girmesinin durdurulmadığını gösterdi tipik bir Google sitesi arayüzü.
Çoğu kullanıcı arasında siteye güven uyandırmak için sayfayı orijinaline benzer hale getirmek yeterliydi. Sonuç olarak olumlu güvenlik göstergelerinin etkili olmadığı ve sorunlara ilişkin açık uyarı çıktılarının düzenlenmesi üzerinde durulması gerektiği sonucuna varılmıştır. Örneğin, benzer bir şema yakın zamanda açıkça güvensiz olarak işaretlenen HTTP bağlantıları için kullanıldı.
Aynı zamanda, EV sertifikaları için görüntülenen bilgiler, adres çubuğunda çok fazla yer kaplar, tarayıcı arayüzünde şirket adı görüldüğünde daha fazla kafa karışıklığına neden olabilir ve ayrıca ürün tarafsızlığı ilkesini ihlal eder ve Kimlik avı için. Örneğin, Symantec sertifika yetkilisi, "Identity Verified" şirketine, özellikle de kamuya açık alanın gerçek adının adres çubuğuna sığmadığı durumlarda, adı kullanıcılar için yanıltıcı olan bir EV sertifikası yayınladı:
Ek: Firefox Geliştiricileri benzer bir çözümdür ve Firefox 70'in piyasaya sürülmesinden itibaren adres stoğunda EV sertifikalarını ayrı olarak tahsis etmeyecektir. Firefox 70'te ayrıca adres çubuğunda HTTPS ve HTTP protokollerinin görüntülenmesi.
Kaynak: opennet.ru