компанія Google відмовитись від окремої позначки сертифікатів рівня EV () у Chrome. Якщо раніше для сайтів із подібними сертифікатами в адресному рядку виводилася назва перевіреної центром компанії, то тепер для даних сайтів той самий індикатор захищеного з'єднання, що й для сертифікатів з верифікацією доступу до домену.
Починаючи з Chrome 77, інформація про застосування EV-сертифікатів буде відображатися тільки у випадаючому меню, що показується при натисканні на піктограму захищеного з'єднання. У 2018 році аналогічне рішення ухвалила компанія Apple для браузера Safari та втілила його у випусках iOS 12 та macOS 10.14. Нагадаємо, що EV-сертифікати підтверджують заявлені параметри ідентифікації та вимагають проведення центром перевірки документів про належність домену та фізичну присутність власника ресурсу.
Проведене в Google дослідження показало, що раніше застосовуваний для EV-сертифікатів індикатор не надавав очікуваного захисту користувачів, які не звертали уваги на різницю і не використовували її при ухваленні рішень щодо введення конфіденційних даних на сайтах. Проведене в Google показало, що 85% користувачів не зупинили від введення облікових даних наявність в адресному рядку URL accounts.google.com.amp.tinyurl.com замість accounts.google.com, у випадку, якщо на сторінці відображається типовий для сайту Google інтерфейс.
Для того, щоб викликати довіру до сайту, у більшості користувачів виявилося достатнім лише зробити сторінку схожою на оригінал. В результаті було зроблено висновок, що позитивні індикатори безпеки не є ефективними і варто зосередити увагу на організації виведення явних попереджень про проблеми. Наприклад, подібна схема нещодавно застосовується для HTTP-з'єднань, які явно позначаються як небезпечні.
При цьому інформація, що виводиться для EV-сертифікатів, займає занадто багато місця в адресному рядку, може призводити до додаткового збентеження при вигляді назви компанії в інтерфейсі браузера, а також порушує принцип нейтральності продукту і для фішингу. Наприклад, центр Symantec, що засвідчує, видав EV-сертифікат компанії «Identity Verified», висновок назви якої вводив користувачів в оману, особливо коли реальне ім'я відкритого домену не вміщувалося в адресний рядок:
Додаток: Розробники Firefox аналогічне рішення і не окремо виділятимуть EV-сертифікати в адресному стоку починаючи з випуску Firefox 70. У Firеfox 70 також буде відображення протоколів HTTPS та HTTP в адресному рядку.
Джерело: opennet.ru