Forrige uke, google-utviklere som har ansvaret for nettleserprosjektet Google Chrome tok avgjørelsen om å deaktivere separat merking av EV-nivå sertifikater (Utvidet validering) i Google Chrome.
Si tidligere for nettsteder med lignende sertifikater ble det bekreftede firmanavnet vist av sertifiseringssenteret i adresselinjen, nå for disse nettstedene vil den samme sikre tilkoblingsindikatoren vises enn for sertifikater med verifisering av domenetilgang. Og det er at fra den neste versjonen av Google Chrome 77, vil informasjonen om bruk av EV-sertifikater bare vises i rullegardinmenyen som vises når du klikker på ikonet for sikker tilkobling.
Med dette trekket som referanse, i fjor (i 2018), tok folkene fra Apple en lignende beslutning for Safari-nettleseren og rullet den ut i iOS 12 og macOS 10.14.
Hvorfor vises ikke enhetene som utsteder sertifikatene lenger i nettleserfeltet?
Dette trekket fra Google-utviklere er hentet fra en studie utført av Google, der det ble vist at indikatoren ble brukt tidligere for EV-sertifikater ga den ikke den forventede beskyttelsen for brukere som ikke var oppmerksomme på forskjellen og ikke brukte den når de tok beslutninger om å legge inn sensitive data på nettsteder.
Permanens i Google-studien Det ble funnet at 85% av brukerne ikke ble forhindret fra å komme inn med tilstedeværelsesinformasjonen i adressefeltet URL «accounts.google.com.amp.tinyurl.com" i stedet for "accounts.google.com«, Hvis den vises på den typiske grensesnittsiden til Google-nettstedet.
Gjennom vår egen undersøkelse, samt en undersøkelse av tidligere akademisk arbeid, har Chrome Security UX-teamet bestemt at EV UI ikke beskytter brukerne slik det var tiltenkt.
Brukerne ser ikke ut til å ta sikre avgjørelser (for eksempel ikke å oppgi passord eller kredittkortinformasjon) når brukergrensesnittet endres eller fjernes, ettersom brukergrensesnittet for EV vil trenge å gi betydelig beskyttelse.
I tillegg tar EV-merket verdifull eiendom på skjermen, kan inneholde aktivt villedende firmanavn i et fremtredende brukergrensesnitt, og forstyrrer Chromes produktstyring mot en nøytral, snarere enn positiv, skjerm for sikre tilkoblinger.
På grunn av disse problemene og dens begrensede nytte, tror vi det hører best til informasjonen på siden.
Endringen av EV-brukergrensesnittet er en del av en bredere trend blant nettlesere for å forbedre sikkerhetsgrensesnittflatene deres i lys av nylige fremskritt innen forståelse av dette problematiske rommet.
For å vekke tillit til nettstedet for de fleste brukere, viste det seg å være nok bare for å gjøre siden lik originalen.
Som et resultat det ble konkludert med at positive sikkerhetsindikatorer ikke er effektive, og det er verdt å fokusere på å organisere utdataene fra eksplisitte advarsler om problemene.
For eksempel har en lignende ordning nylig blitt brukt på HTTP-tilkoblinger som eksplisitt er merket som usikre.
Samtidig informasjonen som vises for EV-sertifikater tar for mye plass i adressefeltet, det kan forårsake ytterligere forvirring når du ser på firmanavnet i nettlesergrensesnittet, og det bryter også med prinsippet om produktneutralitet og brukes til spoofing.
For eksempel utstedte Symantec Certification Authority et Identity Verified EV-sertifikat, hvis navn viste lurte brukere, spesielt når det virkelige navnet på det åpne domenet ikke passet i adressefeltet.
Fuente: https://blog.chromium.org