Prošle sedmice, google programeri koji su zaduženi za projekat web pretraživača Google Chrome donio odluku da onemogući odvojeno označavanje certifikata na nivou EV (Proširena provjera) u Google Chromeu.
Si prethodno je za web lokacije sa sličnim certifikatima prikazano verificirano ime kompanije od strane certifikacijskog centra u adresnoj traci, sada će se za ove web lokacije prikazati isti indikator sigurne veze nego za certifikate s provjerom pristupa domenu. A to je da će se od sljedeće verzije Google Chrome-a 77 informacije o upotrebi EV certifikata prikazivati samo u padajućem izborniku koji se prikazuje klikom na ikonu sigurne veze.
Uzimajući ovaj potez kao referencu, prošle godine (u 2018.) ljudi iz Apple-a donijeli su sličnu odluku za Safari pretraživač i uveli ga u iOS 12 i macOS 10.14.
Zašto se entiteti koji izdaju certifikate više neće prikazivati na traci pregledača?
Ovaj potez Googleovih programera je izvedeno iz studije koju je proveo Google, gdje se pokazalo da se koristi indikator ranije za EV certifikate nije pružao očekivanu zaštitu za korisnike koji nisu obraćali pažnju na razliku i nisu je koristili prilikom donošenja odluka o unošenju osjetljivih podataka na web stranice.
Trajnost u Googleovoj studiji Otkriveno je da 85% korisnika nije spriječeno da uđu s vjerodajnicama za prisustvo u traci za adresu URL «accounts.google.com.amp.tinyurl.com" umjesto "account.google.com«, Ako se pojavi na tipičnoj stranici sučelja Google web stranice.
Našim vlastitim istraživanjem, kao i istraživanjem prethodnog akademskog rada, tim Chrome Security UX-a utvrdio je da EV UI ne štiti korisnike kako je predviđeno.
Čini se da korisnici ne donose sigurne odluke (kao što su neupisivanje lozinke ili podataka o kreditnoj kartici) kada se UI promijeni ili ukloni, jer bi EV UI trebao pružiti značajnu zaštitu.
Pored toga, EV značka zauzima vrijedne nekretnine na ekranu, može sadržavati aktivno zbunjujuća imena kompanija u istaknutom korisničkom sučelju i ometa Chromeov proizvod usmjeren prema neutralnom, a ne pozitivnom ekranu za sigurne veze.
Zbog ovih problema i njegove ograničene korisnosti, mislimo da to najbolje pripada informacijama na stranici.
Izmjena korisničkog sučelja EV dio je šireg trenda među preglednicima da poboljšaju svoje sigurnosne površine korisničkog sučelja u svjetlu nedavnih pomaka u razumijevanju ovog problematičnog prostora.
Da bi se kod većine korisnika pobudilo povjerenje u web stranicu, ispostavilo se da je dovoljno samo da se stranica učini sličnom originalu.
Kao rezultat, zaključeno je da pozitivni sigurnosni pokazatelji nisu učinkoviti i vrijedi se usredotočiti na organiziranje izlaza eksplicitnih upozorenja o problemima.
Na primjer, slična shema nedavno je primijenjena na HTTP veze koje su izričito označene kao nesigurne.
Istovremeno, informacije prikazane za EV certifikate zauzimaju previše prostora u adresnoj traci, to može dovesti do dodatne zabune prilikom gledanja naziva kompanije u sučelju preglednika, a također krši princip neutralnosti proizvoda i koristi se za lažno predstavljanje.
Na primjer, Symantec Certification Authority izdao je EV certifikat s identitetom verificiranim, čije je ime prikazivalo prevarene korisnike, posebno kada pravo ime otvorene domene nije stajalo u adresnoj traci.
Izvor: https://blog.chromium.org