지난주, Google 개발자 구글 크롬 웹 브라우저 프로젝트를 담당하는 EV 수준 인증서의 별도 라벨링을 비활성화하기로 결정 (확장 검증) Google 크롬에서.
Si 이전에 유사한 인증서가있는 사이트의 경우 확인 된 회사 이름이 표시되었습니다. 주소 표시 줄의 인증 센터에서 이제 이러한 사이트에 대해 동일한 보안 연결 표시기가 표시됩니다. 도메인 액세스 확인이있는 인증서보다. 그리고 Google Chrome 77의 다음 버전에서 EV 인증서 사용에 대한 정보는 보안 연결 아이콘을 클릭 할 때 표시되는 드롭 다운 메뉴에만 표시됩니다.
이러한 움직임을 참고로 작년 (2018 년), Apple 직원들은 Safari 브라우저에 대해 비슷한 결정을 내렸고 iOS 12 및 macOS 10.14에 배포했습니다.
인증서를 발급하는 엔터티가 더 이상 브라우저 표시 줄에 표시되지 않는 이유는 무엇입니까?
Google 개발자의 움직임 Google에서 수행 한 연구에서 파생되었습니다., 표시기가 사용 된 것으로 표시된 곳 이전에는 EV 인증서의 경우 차이에주의를 기울이지 않았고 사이트에 중요한 데이터를 입력하는 결정을 내릴 때 사용하지 않은 사용자에게 예상되는 보호 기능을 제공하지 않았습니다.
Google 연구의 영구성 85 %의 사용자가 주소 표시 줄에 현재 자격 증명을 입력 할 수없는 것으로 나타났습니다. URL«account.google.com.amp.tinyurl.com" 대신에 "account.google.com«, Google 사이트의 일반적인 인터페이스 페이지에 나타나는 경우.
Chrome 보안 UX 팀은 자체 연구와 이전 학술 연구 조사를 통해 EV UI가 의도 한대로 사용자를 보호하지 않는다는 것을 확인했습니다.
사용자는 EV UI가 상당한 보호를 제공해야하기 때문에 UI가 변경되거나 제거 될 때 안전한 결정 (예 : 비밀번호 또는 신용 카드 정보를 입력하지 않음)을 내리지 않는 것 같습니다.
또한 EV 배지는 귀중한 화면 공간을 차지하고 눈에 띄는 사용자 인터페이스에 적극적으로 혼동되는 회사 이름을 표시 할 수 있으며 안전한 연결을위한 긍정적 인 화면이 아닌 중립적 인 화면을 향한 Chrome의 제품 방향을 방해합니다.
이러한 문제와 제한된 유용성으로 인해 페이지의 정보에 가장 적합하다고 생각합니다.
EV 사용자 인터페이스의 변경은이 문제가되는 공간을 이해하는 최근의 발전에 비추어 보안 사용자 인터페이스 표면을 개선하려는 브라우저 간의 광범위한 추세의 일부입니다.
대부분의 사용자에게 사이트에 대한 신뢰를 불러 일으키기 위해 페이지를 원본과 비슷하게 만드는 것만으로도 충분했습니다.
그 결과, 긍정적 인 안전 지표는 효과적이지 않으며 명시적인 경고의 출력을 구성하는 데 집중할 가치가 있다는 결론을 내 렸습니다. 문제에 대해.
예를 들어, 최근에 명시 적으로 안전하지 않은 것으로 표시된 HTTP 연결에 유사한 체계가 적용되었습니다.
동시에, EV 인증서에 대해 표시되는 정보는 주소 표시 줄에서 너무 많은 공간을 차지합니다., 브라우저 인터페이스에서 회사 이름을 볼 때 추가적인 혼란을 초래할 수 있으며 제품 중립성의 원칙을 위반하여 스푸핑에 사용됩니다.
예를 들어 시만텍 인증 기관은 특히 공개 도메인의 실제 이름이 주소 표시 줄에 맞지 않는 경우 속인 사용자를 표시하는 ID 확인 EV 인증서를 발급했습니다.
출처 : https://blog.chromium.org