Zeszły tydzień, programiści Google odpowiedzialnych za projekt przeglądarki internetowej Google Chrome podjął decyzję o wyłączeniu osobnego oznaczania certyfikatów na poziomie EV (Rozszerzona walidacja) w Google Chrome.
Si poprzednio dla witryn z podobnymi certyfikatami była wyświetlana nazwa zweryfikowanej firmy przez centrum certyfikacji w pasku adresu, teraz dla tych witryn będzie wyświetlany ten sam wskaźnik bezpiecznego połączenia niż dla certyfikatów z weryfikacją dostępu do domeny. I to właśnie od tego, jaka będzie kolejna wersja Google Chrome 77, informacje o korzystaniu z certyfikatów EV będą wyświetlane tylko w rozwijanym menu, które wyświetla się po kliknięciu ikony bezpiecznego połączenia.
Biorąc to za punkt odniesienia, w zeszłym roku (w 2018 r.) Ludzie z Apple podjęli podobną decyzję w przypadku przeglądarki Safari i wdrożyli ją w iOS 12 i macOS 10.14.
Dlaczego podmioty, które wydają certyfikaty, nie będą już wyświetlane na pasku przeglądarki?
To posunięcie programistów Google pochodzi z badania przeprowadzonego przez Google, gdzie wykazano, że zastosowano wskaźnik wcześniej dla certyfikatów EV nie zapewniało oczekiwanej ochrony użytkownikom, którzy nie zwracali uwagi na różnicę i nie korzystali z niej przy podejmowaniu decyzji o wprowadzaniu wrażliwych danych na stronach.
Trwałość w badaniu Google Stwierdzono, że 85% użytkowników nie zostało zablokowanych przed wejściem z poświadczeniami obecności na pasku adresu Adres URL «konta.google.com.amp.tinyurl.com" zamiast "konta.google.com«, Jeśli pojawia się na typowej stronie interfejsu witryny Google.
Na podstawie własnych badań, a także ankiety dotyczącej wcześniejszych prac akademickich, zespół Chrome Security UX stwierdził, że interfejs EV nie chroni użytkowników zgodnie z przeznaczeniem.
Wydaje się, że użytkownicy nie podejmują bezpiecznych decyzji (takich jak niewprowadzanie hasła lub danych karty kredytowej), gdy UI jest zmieniany lub usuwany, ponieważ UI EV musiałby zapewniać znaczną ochronę.
Ponadto znaczek EV zajmuje cenną powierzchnię ekranu, może zawierać aktywnie wprowadzające w błąd nazwy firm w widocznym interfejsie użytkownika i przeszkadzać w kierowaniu produktu Chrome w kierunku neutralnego, a nie pozytywnego, ekranu dla bezpiecznych połączeń.
Ze względu na te problemy i jego ograniczoną użyteczność uważamy, że najlepiej pasuje do informacji na stronie.
Zmiana interfejsu użytkownika pojazdu elektrycznego jest częścią szerszego trendu wśród przeglądarek, mających na celu poprawę bezpieczeństwa powierzchni interfejsu użytkownika w świetle ostatnich postępów w zrozumieniu tej problematycznej przestrzeni.
Aby wzbudzić zaufanie do serwisu większości użytkowników, wystarczyło tylko upodobnić stronę do oryginału.
W rezultacie Stwierdzono, że pozytywne wskaźniki bezpieczeństwa nie są skuteczne i warto skupić się na uporządkowaniu wyjścia wyraźnych ostrzeżeń o problemach.
Na przykład podobny schemat został ostatnio zastosowany do połączeń HTTP, które są jawnie oznaczone jako niezabezpieczone.
W tym samym czasie informacje wyświetlane dla certyfikatów EV zajmują zbyt dużo miejsca na pasku adresu, może powodować dodatkowe zamieszanie podczas przeglądania nazwy firmy w interfejsie przeglądarki, a także narusza zasadę neutralności produktu i służy do podszywania się.
Na przykład urząd certyfikacji firmy Symantec wydał certyfikat EV z weryfikacją tożsamości, którego nazwa wskazywała na oszukanych użytkowników, zwłaszcza gdy prawdziwa nazwa otwartej domeny nie mieściła się na pasku adresu.
źródło: https://blog.chromium.org