先週、 グーグル開発者 グーグルクロームウェブブラウザプロジェクトを担当している EVレベルの証明書の個別のラベル付けを無効にすることを決定しました (Extended Validation) GoogleChromeで。
Si 以前は、同様の証明書を持つサイトの場合、確認済みの会社名が表示されていました アドレスバーの認証センターによって、 これらのサイトでは、同じ安全な接続インジケーターが表示されます ドメインアクセス検証付きの証明書よりも。 そして、Google Chrome 77の次のバージョンから、EV証明書の使用に関する情報は、安全な接続アイコンをクリックしたときに表示されるドロップダウンメニューにのみ表示されるようになります。
この動きを参考にして、昨年(2018年)、Appleの人々はSafariブラウザーについて同様の決定を下し、iOS12とmacOS10.14で展開しました。
証明書を発行するエンティティがブラウザバーに表示されなくなるのはなぜですか?
Google開発者によるこの動き Googleが実施した調査から派生しています, インジケーターが使用されていることが示された場所 以前のEV証明書では、違いに注意を払わず、サイトへの機密データの入力を決定する際に使用しなかったユーザーに期待される保護を提供していませんでした。
Googleの調査における永続性 ユーザーの85%が、アドレスバーにプレゼンス資格情報を入力することを妨げられていないことがわかりました。 URL«アカウント.google.com.amp.tinyurl.com" の代わりに "account.google.com«、Googleサイトの一般的なインターフェースページに表示される場合。
Chrome Security UXチームは、独自の調査と以前の学術研究の調査を通じて、EVUIが意図したとおりにユーザーを保護していないと判断しました。
EV UIは重要な保護を提供する必要があるため、UIが変更または削除された場合、ユーザーは安全な決定(パスワードやクレジットカード情報を入力しないなど)を行っていないようです。
さらに、EVバッジは貴重な画面領域を占有し、目立つユーザーインターフェースで積極的に混乱する会社名を特徴とし、安全な接続のためのポジティブではなくニュートラルな画面へのChromeの製品ステアリングを妨害します。
これらの問題とその限られた有用性のために、私たちはそれがページ上の情報に最もよく属すると思います。
EVユーザーインターフェイスの変更は、この問題のあるスペースの理解における最近の進歩に照らして、セキュリティユーザーインターフェイスの表面を改善するためのブラウザ間の幅広い傾向の一部です。
ほとんどのユーザーがサイトへの信頼を高めるには、ページを元のページと同じにするだけで十分であることがわかりました。
その結果、 肯定的な安全指標は効果的ではなく、明示的な警告の出力を整理することに焦点を当てる価値があると結論付けられました 問題について。
たとえば、最近、安全でないと明示的にマークされているHTTP接続に同様のスキームが適用されました。
同時に、 EV証明書用に表示される情報は、アドレスバーのスペースを取りすぎます、ブラウザインターフェイスで会社名を表示すると、さらに混乱が生じる可能性があります。また、製品の中立性の原則に違反し、なりすましに使用されます。
たとえば、Symantec認証局はIdentity Verified EV証明書を発行しました。この証明書の名前は、特にオープンドメインの実際の名前がアドレスバーに収まらない場合に、だまされたユーザーを示していました。