Prošli tjedan, google programeri koji su zaduženi za projekt web preglednika Google Chrome donio odluku da onemogući odvojeno označavanje certifikata na razini EV (Proširena provjera valjanosti) u Google Chromeu.
Si prethodno se za web lokacije sa sličnim certifikatima prikazivao provjereni naziv tvrtke od strane certifikacijskog centra u adresnoj traci, sada će se za ove web stranice prikazati isti indikator sigurne veze nego za certifikate s provjerom pristupa domeni. A to je da će se od sljedeće verzije preglednika Google Chrome 77 podaci o upotrebi EV certifikata prikazivati samo u padajućem izborniku koji se prikazuje klikom na ikonu sigurne veze.
Uzimajući ovaj potez kao referencu, prošle godine (u 2018.) ljudi iz Applea donijeli su sličnu odluku za preglednik Safari i uveli ga u iOS 12 i macOS 10.14.
Zašto se entiteti koji izdaju certifikate više neće prikazivati na traci preglednika?
Ovaj potez Googleovih programera izveden je iz studije koju je proveo Google, gdje se pokazalo da se koristi pokazatelj ranije za EV certifikate nije pružao očekivanu zaštitu za korisnike koji nisu obraćali pažnju na razliku i nisu je koristili prilikom donošenja odluka o unošenju osjetljivih podataka na web stranice.
Trajnost u Googleovoj studiji Otkriveno je da 85% korisnika nije spriječeno ući s vjerodajnicama za prisutnost u adresnoj traci URL «accounts.google.com.amp.tinyurl.com" umjesto "accounts.google.com«, Ako se pojavi na tipičnoj stranici sučelja Google web stranice.
Vlastitim istraživanjem, kao i istraživanjem prethodnog akademskog rada, tim Chrome Security UX-a utvrdio je da EV UI ne štiti korisnike kako je predviđeno.
Čini se da korisnici ne donose sigurne odluke (poput neupisivanja lozinke ili podataka o kreditnoj kartici) kada se korisničko sučelje promijeni ili ukloni, jer bi EV korisničko sučelje trebalo pružiti značajnu zaštitu.
Uz to, značka EV zauzima vrijednu nekretninu na zaslonu, može istaknuti imena tvrtki u istaknutom korisničkom sučelju i ometati Chromeov proizvod usmjeren prema neutralnom, a ne pozitivnom prikazu za sigurne veze.
Zbog ovih problema i njegove ograničene korisnosti, smatramo da to najbolje pripada informacijama na stranici.
Izmjena korisničkog sučelja EV dio je šireg trenda među preglednicima da poboljšaju svoje sigurnosne površine korisničkog sučelja u svjetlu nedavnih pomaka u razumijevanju ovog problematičnog prostora.
Da bi većini korisnika pobudilo povjerenje u web stranicu, pokazalo se da je dovoljno samo da stranicu učine sličnom izvornoj.
Kao rezultat toga, zaključeno je da pozitivni sigurnosni pokazatelji nisu učinkoviti i vrijedi se usredotočiti na organiziranje izlaza eksplicitnih upozorenja o problemima.
Na primjer, slična shema nedavno se primjenjuje na HTTP veze koje su izričito označene kao nesigurne.
U isto vrijeme, informacije prikazane za EV certifikate zauzimaju previše mjesta u adresnoj traci, može dovesti do dodatne zabune prilikom gledanja naziva tvrtke u sučelju preglednika, a također krši načelo neutralnosti proizvoda i koristi se za lažno predstavljanje.
Primjerice, tijelo za ovjeru Symantec izdalo je EV certifikat s identitetom ovjerenim, čije je ime prikazivalo prevarene korisnike, posebno kada pravo ime otvorene domene nije stalo u adresnu traku.
izvor: https://blog.chromium.org