Praeitą savaitę, google kūrėjai kurie yra atsakingi už „Google Chrome“ žiniatinklio naršyklės projektą priėmė sprendimą išjungti atskirą EV lygio sertifikatų ženklinimą (Išplėstinis patvirtinimas) „Google Chrome“.
Si anksčiau svetainėse, turinčiose panašius sertifikatus, buvo rodomas patvirtintas įmonės pavadinimas sertifikavimo centras adreso juostoje, dabar šiose svetainėse bus rodomas tas pats saugaus ryšio indikatorius nei sertifikatams su domeno prieigos tikrinimu. Ir tai yra tai, kad nuo kitos versijos „Google Chrome 77“ informacija apie EV sertifikatų naudojimą bus rodoma tik išskleidžiamajame meniu, kuris rodomas spustelėjus saugaus ryšio piktogramą.
Atsižvelgdami į šį žingsnį, praėjusiais metais (2018 m.) „Apple“ žmonės priėmė panašų sprendimą dėl „Safari“ naršyklės ir įdiegė jį „iOS 12“ ir „macOS 10.14“.
Kodėl pažymėjimus išduodantys subjektai nebebus rodomi naršyklės juostoje?
Šis „Google“ kūrėjų žingsnis yra gautas iš „Google“ atlikto tyrimo, kur buvo parodyta, kad naudojamas rodiklis anksčiau EV sertifikatams nesuteikė tikėtinos apsaugos vartotojams, kurie neatkreipė dėmesio į skirtumą ir nenaudojo jo priimdami sprendimus dėl slaptų duomenų įvedimo svetainėse.
Patvarumas „Google“ tyrime Nustatyta, kad 85 proc. Vartotojų nebuvo trukdoma įvesti adreso juostoje su buvimo duomenimis URL «accounts.google.com.amp.tinyurl.com" vietoj "accounts.google.com«, Jei jis rodomas tipiškame„ Google “svetainės sąsajos puslapyje.
Atlikdami savo tyrimus ir atlikdami ankstesnio akademinio darbo apžvalgą, „Chrome Security UX“ komanda nustatė, kad EV vartotojo sąsaja neapsaugo vartotojų, kaip numatyta.
Panašu, kad vartotojai nepriima saugių sprendimų (pavyzdžiui, neįveda slaptažodžio ar kreditinės kortelės informacijos), kai vartotojo sąsaja yra pakeista ar pašalinta, nes EV vartotojo sąsaja turėtų suteikti reikšmingą apsaugą.
Be to, „EV“ ženklelis užima vertingą nekilnojamojo turto ekraną, gali aiškiai rodyti vartotojo klaidinančius įmonių pavadinimus gerai matomoje vartotojo sąsajoje ir trukdo „Chrome“ produktams nukreipti į neutralų, o ne teigiamą, saugių ryšių ekraną.
Dėl šių problemų ir riboto naudingumo manome, kad ji geriausiai priklauso puslapyje esančiai informacijai.
EV vartotojo sąsajos pakeitimas yra dalis platesnės naršyklių tendencijos pagerinti savo saugumo vartotojo sąsajos paviršius, atsižvelgiant į naujausius pasiekimus suprasti šią probleminę erdvę.
Norint sukelti pasitikėjimą svetaine daugumai vartotojų, pasirodė, kad to pakanka, kad puslapis būtų panašus į originalą.
Kaip rezultatas, buvo padaryta išvada, kad teigiami saugos rodikliai nėra veiksmingi ir verta sutelkti dėmesį į aiškių įspėjimų rengimą apie problemas.
Pvz., Panaši schema neseniai buvo taikoma HTTP ryšiams, kurie aiškiai pažymėti kaip nesaugūs.
Tuo pačiu metu EV sertifikatams rodoma informacija adreso juostoje užima per daug vietos, tai gali sukelti papildomą painiavą žiūrint įmonės pavadinimą naršyklės sąsajoje, be to, jis pažeidžia produkto neutralumo principą ir yra naudojamas apsimetant.
Pavyzdžiui, „Symantec“ sertifikavimo tarnyba išdavė „Identity Verified EV“ sertifikatą, kurio pavadinimas parodė apgautus vartotojus, ypač kai tikrasis atviro domeno pavadinimas netelpa adreso juostoje.
Fuente: https://blog.chromium.org