Minggu lalu, pengembang google yang bertanggung jawab atas proyek browser web Google Chrome membuat keputusan untuk menonaktifkan pelabelan terpisah pada sertifikat tingkat EV (Validasi Diperpanjang) di Google Chrome.
Si sebelumnya untuk situs dengan sertifikat serupa, nama perusahaan terverifikasi ditampilkan oleh pusat sertifikasi di bilah alamat, sekarang untuk situs-situs ini, indikator koneksi aman yang sama akan ditampilkan daripada untuk sertifikat dengan verifikasi akses domain. Dan dari apa yang akan menjadi versi berikutnya dari Google Chrome 77, informasi tentang penggunaan sertifikat EV hanya akan ditampilkan di menu drop-down yang ditampilkan saat mengklik ikon koneksi aman.
Mengambil langkah ini sebagai referensi, tahun lalu (pada 2018), orang-orang di Apple membuat keputusan serupa untuk browser Safari dan meluncurkannya di iOS 12 dan macOS 10.14.
Mengapa entitas yang menerbitkan sertifikat tidak lagi ditampilkan di bilah browser?
Langkah ini dilakukan oleh pengembang Google berasal dari studi yang dilakukan oleh Google, dimana ditunjukkan bahwa indikator tersebut digunakan sebelumnya untuk sertifikat EV tidak memberikan perlindungan yang diharapkan bagi pengguna yang tidak memperhatikan perbedaannya dan tidak menggunakannya saat membuat keputusan tentang memasukkan data sensitif di situs.
Permanen di studi Google Ditemukan bahwa 85% pengguna tidak dicegah untuk masuk dengan kredensial kehadiran di bilah alamat URL «account.google.com.amp.tinyurl.com" dari pada "akun.google.com«, Jika muncul di halaman antarmuka khas situs Google.
Melalui penelitian kami sendiri, serta survei pekerjaan akademis sebelumnya, tim Keamanan Chrome UX telah menentukan bahwa EV UI tidak melindungi pengguna sebagaimana dimaksud.
Pengguna tampaknya tidak membuat keputusan yang aman (seperti tidak memasukkan kata sandi atau informasi kartu kredit) saat UI diubah atau dihapus, karena EV UI perlu memberikan perlindungan yang signifikan.
Selain itu, lencana EV mengambil ruang layar yang berharga, dapat menampilkan nama perusahaan yang secara aktif menyesatkan dalam antarmuka pengguna yang menonjol, dan mengganggu pengarahan produk Chrome ke tampilan yang netral, bukan positif, untuk koneksi yang aman.
Karena masalah ini dan kegunaannya yang terbatas, menurut kami ini adalah yang terbaik untuk informasi di laman.
Perubahan antarmuka pengguna EV adalah bagian dari tren yang lebih luas di antara browser untuk meningkatkan keamanan permukaan antarmuka pengguna mereka sehubungan dengan kemajuan terbaru dalam memahami ruang bermasalah ini.
Untuk menggugah kepercayaan pada situs bagi sebagian besar pengguna, ternyata cukup hanya membuat halaman mirip dengan aslinya.
Sebagai hasilnya, Disimpulkan bahwa indikator keselamatan positif tidak efektif dan perlu difokuskan pada pengaturan keluaran peringatan eksplisit tentang masalah.
Misalnya, skema serupa baru-baru ini diterapkan ke koneksi HTTP yang secara eksplisit ditandai sebagai tidak aman.
Pada saat bersamaan, informasi yang ditampilkan untuk sertifikat EV memakan terlalu banyak ruang di bilah alamat, dapat menyebabkan kebingungan tambahan saat melihat nama perusahaan di antarmuka browser, dan juga melanggar prinsip netralitas produk dan digunakan untuk phishing.
Misalnya, Otoritas Sertifikasi Symantec mengeluarkan sertifikat Identity Verified EV, yang namanya menunjukkan pengguna yang tertipu, terutama bila nama asli domain terbuka tidak pas di bilah alamat.
sumber: https://blog.chromium.org