谷歌 放棄EV級別憑證的單獨標記()在 Chrome 中。 如果先前對於具有類似證書的網站,網址列中會顯示經過認證中心驗證的公司名稱,現在對於這些網站 與具有網域存取驗證的憑證相同的安全連線指標。
從 Chrome 77 開始,有關 EV 憑證所使用的資訊只會顯示在按一下安全連線圖示時顯示的下拉式功能表中。 2018 年,蘋果對 Safari 瀏覽器做出了類似的決定,並在 iOS 12 和 macOS 10.14 的版本中實現了它。 讓我們回想一下,EV 憑證確認所規定的識別參數,並要求認證中心驗證確認網域所有權和資源擁有者實際存在的文件。
谷歌的一項研究發現,先前用於 EV 憑證的指標並沒有為那些沒有註意到差異並且在決定在網站上輸入敏感資料時沒有使用它的用戶提供預期的保護。 在 Google 上花費的時間 表明,如果頁面顯示,85% 的使用者不會因為網址列中出現 URL「accounts.google.com.amp.tinyurl.com」(而不是「accounts.google.com」)而停止輸入憑證典型的Google 網站介面.
為了激發大多數用戶對網站的信心,只需使頁面與原始頁面相似就足夠了。 由此得出的結論是,積極的安全指標並不有效,值得重點放在組織對問題的明確警告的輸出。 例如,類似的方案最近已被用於明確標記為不安全的 HTTP 連線。
同時,EV憑證顯示的資訊佔用了網址列過多的空間,在瀏覽器介面中看到公司名稱時會導致額外的混亂,也違反了產品中立和保護的原則。 用於網路釣魚。 例如,賽門鐵克認證機構向「Identity Verified」公司頒發了EV證書,該證書的名稱對使用者俱有誤導性,尤其是當公共網域的真實名稱無法放入網址列時:
添加:Firefox 開發者 類似的解決方案,從 Firefox 70 發布開始,不會在地址庫中單獨分配 EV 憑證。在 Firefox 70 中,還會有 在網址列中顯示 HTTPS 和 HTTP 協定。
來源: opennet.ru