Миналата седмица, разработчици на google които отговарят за проекта за уеб браузър Google Chrome взе решение да деактивира отделното етикетиране на сертификати от ниво EV (Разширена проверка) в Google Chrome.
Si преди това за сайтове с подобни сертификати се показваше потвърденото име на фирма от центъра за сертифициране в адресната лента, сега за тези сайтове ще се показва същият индикатор за сигурна връзка отколкото за сертификати с проверка на достъпа до домейн. И то е, че от това, което ще бъде следващата версия на Google Chrome 77, информацията за използването на EV сертификати ще се показва само в падащото меню, което се показва при щракване върху иконата за сигурна връзка.
Приемайки този ход като референтен, миналата година (през 2018 г.) хората от Apple взеха подобно решение за браузъра Safari и го пуснаха в iOS 12 и macOS 10.14.
Защо обектите, които издават сертификатите, вече няма да се показват в лентата на браузъра?
Този ход от разработчиците на Google е получена от проучване, проведено от Google, където беше показано, че използваният индикатор преди това за EV сертификатите не осигуряваше очакваната защита за потребители, които не обърнаха внимание на разликата и не я използваха при вземане на решения за въвеждане на чувствителни данни на сайтове.
Постоянство в проучването на Google Установено е, че 85% от потребителите не са били възпрепятствани да влизат с идентификационните данни за присъствие в адресната лента URL адрес «accounts.google.com.amp.tinyurl.com" вместо "accounts.google.com«, Ако се появи на типичната страница на интерфейса на сайта на Google.
Чрез нашето собствено проучване, както и проучване на предишна академична работа, екипът на Chrome Security UX установи, че потребителският интерфейс EV не защитава потребителите по предназначение.
Изглежда, че потребителите не вземат безопасни решения (като не въвеждане на парола или информация за кредитна карта), когато потребителският интерфейс е променен или премахнат, тъй като EV потребителският интерфейс ще трябва да осигури значителна защита.
В допълнение, значката EV заема ценна екранна недвижима собственост, може да включва активно объркващи имена на компании във виден потребителски интерфейс и пречи на продукта на Chrome да насочва към неутрален, а не положителен екран за сигурни връзки.
Поради тези проблеми и ограничената му полезност, ние смятаме, че той принадлежи най-добре на информацията на страницата.
Промяната на потребителския интерфейс на EV е част от една по-широка тенденция сред браузърите за подобряване на техните защитни повърхности на потребителския интерфейс в светлината на последните постижения в разбирането на това проблемно пространство.
За да предизвика доверие в сайта за повечето потребители, се оказа достатъчно, само за да направи страницата подобна на оригинала.
В резултат на това беше направено заключението, че положителните показатели за безопасност не са ефективни и си струва да се съсредоточи върху организирането на извеждането на изрични предупреждения за проблемите.
Например подобна схема наскоро беше приложена към HTTP връзки, които са изрично маркирани като несигурни.
В същото време, информацията, показана за EV сертификати, заема твърде много място в адресната лента, това може да доведе до допълнително объркване при разглеждане на името на компанията в интерфейса на браузъра, а също така нарушава принципа на неутралност на продукта и се използва за фишинг.
Например сертифициращият орган на Symantec издаде удостоверение за удостоверяване на самоличността EV, чието име показва измамени потребители, особено когато истинското име на отворения домейн не се побира в адресната лента.
Fuente: https://blog.chromium.org