Múlt hét, google fejlesztők amelyek felelősek a Google Chrome webböngésző projektért úgy döntött, hogy letiltja az EV-szintű tanúsítványok külön címkézését (Kiterjesztett validálás) a Google Chrome-ban.
Si korábban hasonló tanúsítással rendelkező webhelyeknél az ellenőrzött cégnév jelent meg a tanúsító központ által a címsorban, most ezeknél a webhelyeknél ugyanaz a biztonságos kapcsolat jelző jelenik meg mint a domain hozzáférés-ellenőrző tanúsítványokhoz. És ez az, hogy a Google Chrome 77 következő verziójától kezdve az EV tanúsítványok használatára vonatkozó információk csak a legördülő menüben jelennek meg, amely a biztonságos kapcsolat ikonjára kattintva jelenik meg.
Ha ezt a lépést referenciaként vettük figyelembe, tavaly (2018-ban) az Apple emberei hasonló döntést hoztak a Safari böngészővel kapcsolatban, és bevezetették az iOS 12-ben és a macOS 10.14-ben.
Miért nem jelennek meg többé a tanúsítványokat kibocsátó entitások a böngészősávban?
A Google fejlesztői ez a lépés a Google által végzett tanulmányból származik, ahol bebizonyosodott, hogy a mutató használt korábban az EV tanúsítványok esetében nem nyújtotta a várt védelmet azoknak a felhasználóknak, akik nem figyeltek a különbségre, és nem használták azt, amikor döntéseket hoztak az érzékeny adatok webhelyekre történő beviteléről.
Tartósság a Google-tanulmányban Megállapítást nyert, hogy a felhasználók 85% -át nem akadályozták meg abban, hogy jelenléti adatokkal lépjenek be a címsávba URL «accounts.google.com.amp.tinyurl.com" ahelyett "accounts.google.com«, Ha a Google webhely tipikus felületén jelenik meg.
Saját kutatásunkkal, valamint a korábbi tudományos munkák felmérésével a Chrome Security UX csapata megállapította, hogy az EV felhasználói felület nem a szándékolt módon védi a felhasználókat.
Úgy tűnik, hogy a felhasználók nem hoznak biztonságos döntéseket (például nem írnak be jelszót vagy hitelkártya-információt) a felhasználói felület megváltoztatásakor vagy eltávolításakor, mivel az EV felhasználói felületnek jelentős védelmet kellene nyújtania.
Ezenkívül az EV jelvény értékes képernyő ingatlanokat foglal el, aktívan megtévesztő cégneveket jeleníthet meg egy jól látható felhasználói felületen, és zavarja a Chrome termékének irányítását a semleges, nem pedig pozitív képernyő felé a biztonságos kapcsolatok érdekében.
Ezen problémák és korlátozott hasznossága miatt úgy gondoljuk, hogy a legjobban az oldalon található információkhoz tartozik.
Az EV felhasználói felületének megváltoztatása a böngészők körében szélesebb körű tendencia része, amelynek célja a biztonsági felhasználói felület felületeinek javítása, figyelembe véve a problémás tér megértésének legújabb fejleményeit.
Ahhoz, hogy a legtöbb felhasználóban bizalmat ébresszen a webhely iránt, elegendőnek bizonyult az oldal hasonlóvá tétele az eredetihez.
Ennek eredményeként arra a következtetésre jutottak, hogy a pozitív biztonsági mutatók nem hatékonyak, és érdemes a kifejezett figyelmeztetések kimenetének szervezésére összpontosítani a problémákról.
Például a közelmúltban hasonló sémát alkalmaztak a kifejezetten nem biztonságosként megjelölt HTTP-kapcsolatoknál.
Ugyanakkor, az EV tanúsítványokhoz megjelenített információk túl sok helyet foglalnak el a címsorban, ez további zavart okozhat, amikor a cég nevét a böngésző felületén tekintik meg, és a termék semlegességének elvét is sérti, és hamisításra használják.
Például a Symantec tanúsító hatóság kiadott egy Identity Verified EV tanúsítványt, amelynek neve megtévesztett felhasználókat mutatott, különösen akkor, ha a nyílt tartomány valódi neve nem illett a címsorba.
forrás: https://blog.chromium.org