Pagājušajā nedēļā, google izstrādātāji kuri ir atbildīgi par Google Chrome tīmekļa pārlūkprogrammas projektu pieņēma lēmumu atspējot atsevišķu EV līmeņa sertifikātu marķēšanu (Paplašināta validācija) pārlūkā Google Chrome.
Si iepriekš vietnēm ar līdzīgiem sertifikātiem tika parādīts verificēts uzņēmuma nosaukums sertifikācijas centrs adreses joslā, tagad šīm vietnēm tiks parādīts tas pats drošā savienojuma indikators nevis sertifikātiem ar domēna piekļuves pārbaudi. Un tas ir tas, ka no nākamās Google Chrome 77 versijas informācija par EV sertifikātu lietošanu tiks parādīta tikai nolaižamajā izvēlnē, kas tiek parādīta, noklikšķinot uz drošā savienojuma ikonas.
Ņemot šo atsauci, pagājušajā gadā (2018. gadā) Apple ļaudis pieņēma līdzīgu lēmumu par pārlūkprogrammu Safari un ieviesa to iOS 12 un macOS 10.14.
Kāpēc entītijas, kas izsniedz sertifikātus, vairs netiks rādītas pārlūka joslā?
Šis Google izstrādātāju solis ir iegūts no Google veiktā pētījuma, kur tika parādīts, ka izmantotais rādītājs iepriekš EV sertifikātiem tas nenodrošināja gaidīto aizsardzību lietotājiem, kuri nepievērsa uzmanību atšķirībai un neizmantoja to, pieņemot lēmumus par sensitīvu datu ievadīšanu vietnēs.
Noturība Google pētījumā Tika konstatēts, ka 85% lietotāju netraucēja ievadīt ar klātbūtnes akreditācijas datiem adreses joslā URL «accounts.google.com.amp.tinyurl.com" tā vietā "accounts.google.com«, Ja tas parādās tipiskajā Google vietnes saskarnes lapā.
Veicot mūsu pašu pētījumus, kā arī iepriekšēja akadēmiskā darba aptauju, Chrome Security UX komanda ir noteikusi, ka EV UI neaizsargā lietotājus, kā paredzēts.
Lietotāji, šķiet, nepieņem drošus lēmumus (piemēram, neievada paroli vai kredītkartes informāciju), kad lietotāja saskarne tiek mainīta vai noņemta, jo EV lietotāja saskarnei būtu jānodrošina ievērojama aizsardzība.
Turklāt EV emblēma aizņem vērtīgu ekrāna nekustamo īpašumu, tā var labi attēlot maldinošus uzņēmumu nosaukumus redzamā lietotāja saskarnē un traucē Chrome produktu virzību uz neitrālu, nevis pozitīvu displeju drošiem savienojumiem.
Sakarā ar šiem jautājumiem un tā ierobežoto lietderību, mēs domājam, ka tas vislabāk atbilst lapā esošajai informācijai.
EV lietotāja saskarnes maiņa ir daļa no plašākas pārlūkprogrammu tendences uzlabot viņu lietotāja drošības saskarnes virsmas, ņemot vērā nesenos sasniegumus šīs problemātiskās telpas izpratnē.
Lai vairumam lietotāju izraisītu uzticību vietnei, izrādījās, ka pietiek ar to, lai lapa būtu līdzīga oriģinālam.
Kā rezultātā, tika secināts, ka pozitīvie drošības rādītāji nav efektīvi, un ir vērts koncentrēties uz skaidru brīdinājumu iznākuma organizēšanu par problēmām.
Piemēram, līdzīga shēma nesen tika piemērota HTTP savienojumiem, kas ir skaidri atzīmēti kā nedroši.
Tajā pašā laikā informācija par EV sertifikātiem adreses joslā aizņem pārāk daudz vietas, tas var radīt papildu neskaidrības, pārlūkprogrammas saskarnē apskatot uzņēmuma nosaukumu, un tas arī pārkāpj produkta neitralitātes principu un tiek izmantots krāpšanai.
Piemēram, Symantec sertifikācijas iestāde izsniedza Identity Verified EV sertifikātu, kura nosaukums parādīja pieviltus lietotājus, it īpaši, ja atvērtā domēna īstais nosaukums neietilpa adreses joslā.
Fuente: https://blog.chromium.org