Letzte Woche, Google-Entwickler die für das Google Chrome-Webbrowserprojekt verantwortlich sind traf die Entscheidung, die separate Kennzeichnung von Zertifikaten auf EV-Ebene zu deaktivieren (Erweiterte Validierung) in Google Chrome.
Si Zuvor wurde für Standorte mit ähnlichen Zertifikaten der verifizierte Firmenname angezeigt vom Zertifizierungszentrum in der Adressleiste, Jetzt wird für diese Sites dieselbe sichere Verbindungsanzeige angezeigt als für Zertifikate mit Domänenzugriffsüberprüfung. Ab der nächsten Version von Google Chrome 77 werden die Informationen zur Verwendung von EV-Zertifikaten nur im Dropdown-Menü angezeigt, das beim Klicken auf das Symbol für sichere Verbindung angezeigt wird.
Ausgehend von diesem Schritt haben die Mitarbeiter von Apple im vergangenen Jahr (2018) eine ähnliche Entscheidung für den Safari-Browser getroffen und ihn in iOS 12 und macOS 10.14 eingeführt.
Warum werden die Entitäten, die die Zertifikate ausstellen, nicht mehr in der Browserleiste angezeigt?
Dieser Schritt von Google-Entwicklern stammt aus einer Studie von Google, wo gezeigt wurde, dass der Indikator verwendet Zuvor bot es für EV-Zertifikate nicht den erwarteten Schutz für Benutzer, die den Unterschied nicht beachteten und ihn nicht verwendeten, wenn sie Entscheidungen über die Eingabe sensibler Daten auf Websites trafen.
Dauerhaftigkeit in der Google-Studie Es wurde festgestellt, dass 85% der Benutzer nicht daran gehindert wurden, die Anmeldeinformationen in der Adressleiste einzugeben URL «Accounts.google.com.amp.tinyurl.com" Anstatt von "accounts.google.com«, Wenn es auf der typischen Schnittstellenseite der Google-Site angezeigt wird.
Durch unsere eigenen Untersuchungen sowie eine Übersicht über frühere akademische Arbeiten hat das Chrome Security UX-Team festgestellt, dass die EV-Benutzeroberfläche die Benutzer nicht wie beabsichtigt schützt.
Benutzer scheinen keine sicheren Entscheidungen zu treffen (z. B. keine Passwort- oder Kreditkarteninformationen einzugeben), wenn die Benutzeroberfläche geändert oder entfernt wird, da die Benutzeroberfläche des Elektrofahrzeugs einen erheblichen Schutz bieten müsste.
Darüber hinaus nimmt das EV-Emblem wertvolle Bildschirmflächen ein, kann aktiv verwirrende Firmennamen in einer prominenten Benutzeroberfläche enthalten und beeinträchtigt die Produktsteuerung von Chrome in Richtung eines neutralen und nicht eines positiven Bildschirms für sichere Verbindungen.
Aufgrund dieser Probleme und seiner begrenzten Nützlichkeit denken wir, dass es am besten zu den Informationen auf der Seite gehört.
Die Änderung der EV-Benutzeroberfläche ist Teil eines breiteren Trends unter Browsern, ihre Sicherheitsoberflächen für Benutzeroberflächen angesichts der jüngsten Fortschritte beim Verständnis dieses problematischen Bereichs zu verbessern.
Um das Vertrauen der meisten Benutzer in die Website zu wecken, hat es sich als ausreichend erwiesen, die Seite dem Original ähnlich zu machen.
Als Ergebnis Es wurde der Schluss gezogen, dass positive Sicherheitsindikatoren nicht wirksam sind und es sich lohnt, sich auf die Organisation der Ausgabe expliziter Warnungen zu konzentrieren über die Probleme.
Beispielsweise wurde kürzlich ein ähnliches Schema auf HTTP-Verbindungen angewendet, die explizit als unsicher markiert sind.
Zur gleichen Zeit Die für EV-Zertifikate angezeigten Informationen belegen zu viel Platz in der AdressleisteDies kann zu zusätzlicher Verwirrung beim Anzeigen des Firmennamens in der Browser-Oberfläche führen. Außerdem verstößt es gegen das Prinzip der Produktneutralität und wird zum Spoofing verwendet.
Beispielsweise hat die Symantec-Zertifizierungsstelle ein identitätsverifiziertes EV-Zertifikat ausgestellt, dessen Name betrogene Benutzer anzeigt, insbesondere wenn der tatsächliche Name der offenen Domäne nicht in die Adressleiste passt.
Quelle: https://blog.chromium.org