Minulý týden, vývojáři google kteří mají na starosti projekt webového prohlížeče Google Chrome učinil rozhodnutí zakázat oddělené označování certifikátů na úrovni EV (Rozšířená validace) v Google Chrome.
Si dříve pro weby s podobnými certifikáty se zobrazoval ověřený název společnosti certifikačním centrem v adresním řádku, nyní se pro tyto stránky zobrazí stejný indikátor zabezpečeného připojení než u certifikátů s ověřením přístupu k doméně. A to je to, že od příští verze Google Chrome 77 se informace o použití certifikátů EV zobrazí pouze v rozevírací nabídce, která se zobrazí po kliknutí na ikonu zabezpečeného připojení.
Vezmeme-li tento krok jako referenci, v loňském roce (v roce 2018) lidé v Apple učinili podobné rozhodnutí pro prohlížeč Safari a zavedli jej v iOS 12 a macOS 10.14.
Proč se entity, které vydávají certifikáty, již nebudou zobrazovat na liště prohlížeče?
Tento krok vývojářů Google je odvozen ze studie provedené společností Google, kde se ukázalo, že indikátor byl použit dříve pro certifikáty EV neposkytoval očekávanou ochranu uživatelům, kteří nevěnovali pozornost rozdílu a nepoužívali ji při rozhodování o zadávání citlivých údajů na stránkách.
Trvanlivost ve studii Google Bylo zjištěno, že 85% uživatelů nebylo zabráněno ve vstupu pomocí pověření přítomnosti v adresním řádku URL «accounts.google.com.amp.tinyurl.com" namísto "accounts.google.com«, Pokud se objeví na typické stránce rozhraní na webu Google.
Prostřednictvím našeho vlastního výzkumu a průzkumu předchozí akademické práce tým Chrome Security UX zjistil, že uživatelské rozhraní EV nechrání uživatele tak, jak bylo zamýšleno.
Zdá se, že uživatelé nedělají bezpečná rozhodnutí (například nezadávají heslo nebo informace o kreditní kartě), když je uživatelské rozhraní změněno nebo odstraněno, protože uživatelské rozhraní EV by muselo poskytovat významnou ochranu.
Odznak EV navíc zabírá cennou nemovitost na obrazovce, může obsahovat aktivně zavádějící názvy společností na prominentním uživatelském rozhraní a narušuje směrování produktu Chrome směrem k neutrálnímu, nikoli pozitivnímu zobrazení zabezpečeného připojení.
Kvůli těmto problémům a jejich omezené užitečnosti si myslíme, že patří nejlépe k informacím na stránce.
Změna uživatelského rozhraní EV je součástí širšího trendu mezi prohlížeči, který má zlepšit jejich povrchy bezpečnostního uživatelského rozhraní ve světle posledních pokroků v porozumění tomuto problematickému prostoru.
Abychom u většiny uživatelů vzbudili důvěru v web, ukázalo se, že to stačí k tomu, aby byla stránka podobná té původní.
Jako výsledek, byl učiněn závěr, že pozitivní bezpečnostní indikátory nejsou účinné a je třeba se zaměřit na organizaci výstupu explicitních varování o problémech.
Například podobné schéma bylo nedávno použito pro připojení HTTP, která jsou explicitně označena jako nezabezpečená.
Současně informace zobrazené pro certifikáty EV zabírají v adresním řádku příliš mnoho místa, může to vést k dalšímu zmatku při prohlížení názvu společnosti v rozhraní prohlížeče a také to porušuje zásadu neutrality produktu a používá se pro spoofing.
Například certifikační autorita Symantec vydala certifikát Identity Verified EV, jehož název zobrazoval oklamané uživatele, zejména když se skutečné jméno otevřené domény nevejde do adresního řádku.
zdroj: https://blog.chromium.org