谷歌 放弃EV级别证书的单独标记()在 Chrome 中。 如果以前对于具有类似证书的网站,地址栏中会显示经过认证中心验证的公司名称,现在对于这些网站 与具有域访问验证的证书相同的安全连接指标。
从 Chrome 77 开始,有关 EV 证书使用的信息只会显示在单击安全连接图标时显示的下拉菜单中。 2018 年,苹果对 Safari 浏览器做出了类似的决定,并在 iOS 12 和 macOS 10.14 的版本中实现了它。 让我们回想一下,EV 证书确认所规定的标识参数,并要求认证中心验证确认域所有权和资源所有者实际存在的文件。
谷歌的一项研究发现,之前用于 EV 证书的指标并没有为那些没有注意到差异并且在决定在网站上输入敏感数据时没有使用它的用户提供预期的保护。 在 Google 上花费的时间 结果表明,如果页面显示典型的 Google,则 85% 的用户不会因为网址栏中出现“accounts.google.com.amp.tinyurl.com”而不是“accounts.google.com”而阻止输入凭据站点界面。
为了激发大多数用户对网站的信心,只需使页面与原始页面相似就足够了。 由此得出的结论是,积极的安全指标并不有效,值得重点组织对问题的明确警告的输出。 例如,类似的方案最近已被用于明确标记为不安全的 HTTP 连接。
同时,EV证书显示的信息占用了地址栏过多的空间,在浏览器界面中看到公司名称时会导致额外的混乱,也违反了产品中立和保护的原则。 用于网络钓鱼。 例如,赛门铁克认证机构向“Identity Verified”公司颁发了EV证书,该证书的名称对用户具有误导性,尤其是当公共域名的真实名称无法放入地址栏时:
添加:Firefox 开发者 类似的解决方案,从 Firefox 70 发布开始,不会在地址库中单独分配 EV 证书。在 Firefox 70 中,还会有 在地址栏中显示 HTTPS 和 HTTP 协议。
来源: opennet.ru