La setmana passada, desenvolupadors de Google que es troben a càrrec de el projecte de el navegador web Google Chrome van prendre la decisió d'inhabilitar l'etiquetatge separat dels certificats de nivell EV (Validació estesa) a Google Chrome.
Si abans per als llocs amb certificats similars es mostrava el nom de la companyia verificada pel centre de certificació a la barra d'adreces, ara per aquests llocs es mostrarà el mateix indicador de connexió segura que per als certificats amb verificació d'accés a l'domini. I és que a partir del que serà la propera versió de Google Chrome 77, la informació sobre l'ús de certificats EV es mostrarà només al menú desplegable que es mostra a l'fer clic a la icona de connexió segura.
Prenent aquest moviment com a referència, l'any passat (el 2018), la gent d'Apple va prendre una decisió similar per al navegador Safari i ho va implementar en iOS 12 i macOS 10.14.
Per que ja no es mostressin les entitats que emeten els certificats a la barra de el navegador?
Aquest moviment per part dels desenvolupadors de Google es deriva d'un estudi realitzat per Google, en on es va mostrar que l'indicador utilitzat anteriorment per als certificats EV no proporcionava la protecció esperada per als usuaris que no prestaven atenció a la diferència i no la feien servir a l'prendre decisions sobre l'entrada de dades confidencials en els llocs.
De permanència en l'estudi de Google es va trobar que el 85% dels usuaris no es va impedir entrar amb la presència credencials a la barra d'adreces URL «accounts.google.com.amp.tinyurl.com»En lloc de«comptes.google.com«, Si apareix a la pàgina interfície típica de el lloc de Google.
Mitjançant la nostra pròpia investigació, així com una enquesta de treballs acadèmics previs, l'equip de Chrome Security UX ha determinat que la interfície d'usuari EV no protegeix als usuaris segons el previst.
Els usuaris no semblen prendre decisions segures (com no ingressar la contrasenya o la informació de la targeta de crèdit) quan s'altera o elimina la IU, ja que caldria que la EU EV proporcionés una protecció significativa.
A més, la insígnia d'EV ocupa un valuós espai a la pantalla, pot presentar noms d'empreses que confonen activament en una interfície d'usuari destacada i interfereix amb la direcció de l'producte de Chrome cap a una pantalla neutral, en lloc de positiva, per a connexions segures .
A causa d'aquests problemes i la seva utilitat limitada, creiem que pertany millor a la informació de la pàgina.
L'alteració de la interfície d'usuari EV és part d'una tendència més àmplia entre els navegadors per millorar les seves superfícies d'interfície d'usuari de seguretat a la llum dels recents avenços en la comprensió d'aquest espai problemàtic.
Per despertar la confiança en el lloc per a la majoria dels usuaris, va resultar ser suficient només per fer que la pàgina sigui similar a l'original.
Com a resultat, es va concloure que els indicadors de seguretat positius no són efectius i val la pena centrar-se en organitzar la sortida d'advertències explícites sobre els problemes.
Per exemple, recentment s'ha aplicat un esquema similar a les connexions HTTP que estan marcades explícitament com insegures.
Alhora, la informació que es mostra per als certificats EV ocupa massa espai a la barra d'adreces, Pot generar confusió addicional a l'veure el nom de l'empresa en la interfície de navegador, i també viola el principi de neutralitat de l'producte i s'utilitza per suplantació d'identitat.
Per exemple, l'Autoritat de Certificació de Symantec va emetre un certificat EV de Identity Verified, el nom mostrava als usuaris enganyats, especialment quan el nom real de l'domini obert no cabia a la barra de direccions.
font: https://blog.chromium.org