Eelmine nädal, google arendajad kes vastutavad Google Chrome'i veebibrauseri projekti eest tegi otsuse keelata EV-taseme sertifikaatide eraldi märgistamine (Laiendatud valideerimine) Google Chrome'is.
Si varem sarnaste sertifikaatidega saitide puhul kuvati kinnitatud ettevõtte nimi sertifitseerimiskeskuse poolt aadressiribal, nüüd kuvatakse nende saitide jaoks sama turvalise ühenduse indikaator kui domeeni juurdepääsu kontrollimisega sertifikaatide puhul. Ja nimelt sellest, mis on Google Chrome 77 järgmine versioon, kuvatakse teave EV-sertifikaatide kasutamise kohta ainult rippmenüüs, mis kuvatakse turvalise ühenduse ikooni klõpsamisel.
Võttes selle sammu, tegid eelmisel aastal (2018. aastal) Apple'i inimesed Safari brauseri osas sarnase otsuse ja viisid selle iOS 12 ja macOS 10.14 välja.
Miks sertifikaate väljastavaid üksusi enam brauseriribal ei kuvata?
Selle Google'i arendajate käigu pärineb Google'i uuringust, kus näidati, et kasutati indikaatorit varem ei taganud see EV-sertifikaatide jaoks loodetud kaitset kasutajatele, kes ei pööranud erinevusele tähelepanu ega kasutanud seda saitidele delikaatsete andmete sisestamise otsuste tegemisel.
Püsivus Google'i uuringus Leiti, et 85% kasutajatest ei takistatud sisestamast aadressiribal olekuteavet URL «accounts.google.com.amp.tinyurl.com" selle asemel "accounts.google.com«, Kui see ilmub Google'i saidi tüüpilisel liidese lehel.
Meie enda uuringute ja varasema akadeemilise töö uuringu kaudu on Chrome Security UX-i meeskond teinud kindlaks, et EV kasutajaliides ei kaitse kasutajaid ettenähtud viisil.
Kasutajaliidese muutmisel või eemaldamisel ei näi kasutajad turvalisi otsuseid vastu võtvat (näiteks parooli või krediitkaardiandmeid sisestamata), kuna EV kasutajaliides peaks pakkuma olulist kaitset.
Lisaks võtab EV märk kasutusele väärtusliku kinnisvara, võib silmapaistvas kasutajaliideses aktiivselt eksitavaid ettevõtete nimesid kasutada ja häirib Chrome'i toodete juhtimist turvaliste ühenduste jaoks neutraalse, mitte positiivse kuva suunas.
Nende probleemide ja piiratud kasulikkuse tõttu kuulub meie arvates kõige paremini lehel olevale teabele.
EV kasutajaliidese muutmine on osa brauserite laiemast trendist oma turvalisuse kasutajaliidese pindade täiustamiseks, pidades silmas hiljutisi edusamme selle probleemse ruumi mõistmisel.
Enamiku kasutajate jaoks saidi usalduse äratamiseks osutus sellest piisavaks, et muuta leht originaali sarnaseks.
Selle tulemusena jõuti järeldusele, et positiivsed ohutusnäitajad pole tõhusad ja tasub keskenduda selgesõnaliste hoiatuste väljundi korraldamisele probleemide kohta.
Näiteks on hiljuti sarnast skeemi rakendatud HTTP-ühendustele, mis on selgesõnaliselt märgitud ebaturvaliseks.
Samal ajal EV-sertifikaatide jaoks kuvatav teave võtab aadressiribal liiga palju ruumi, võib see ettevõtte brauseri liideses vaadates tekitada täiendavat segadust, samuti rikub see toote neutraalsuse põhimõtet ja seda kasutatakse võltsimiseks.
Näiteks andis Symanteci sertifitseerimisasutus välja Identity Verified EV sertifikaadi, mille nimi näitas petetud kasutajaid, eriti kui avatud domeeni tegelik nimi aadressiribale ei mahtunud.
allikas: https://blog.chromium.org