Minulý týždeň, vývojári google ktorí majú na starosti projekt webového prehliadača Google Chrome prijal rozhodnutie zakázať samostatné označovanie certifikátov na úrovni EV (Rozšírené overenie) v prehliadači Google Chrome.
Si predtým sa pre stránky s podobnými certifikátmi zobrazoval overený názov spoločnosti certifikačným centrom v paneli s adresou, teraz sa pre tieto stránky zobrazí rovnaký indikátor zabezpečeného pripojenia ako pre certifikáty s overením prístupu do domény. A je to tak, že od budúcej verzie Google Chrome 77 sa informácie o použití certifikátov EV zobrazia iba v rozbaľovacej ponuke, ktorá sa zobrazí po kliknutí na ikonu zabezpečeného pripojenia.
Keď si vezmeme tento krok ako referenciu, minulý rok (v roku 2018) ľudia v spoločnosti Apple prijali podobné rozhodnutie pre prehliadač Safari a zaviedli ho do systému iOS 12 a macOS 10.14.
Prečo sa subjekty, ktoré vydávajú certifikáty, už nebudú zobrazovať na paneli prehliadača?
Tento krok vývojárov spoločnosti Google pochádza zo štúdie uskutočnenej spoločnosťou Google, kde sa ukázalo, že použitý indikátor predtým pre certifikáty EV neposkytoval očakávanú ochranu používateľom, ktorí nevenovali pozornosť rozdielom a nepoužívali ju pri rozhodovaní o zadávaní citlivých údajov na stránkach.
Trvanlivosť v štúdii Google Zistilo sa, že 85% používateľov nebránilo vo vstupe pomocou poverení o prítomnosti v paneli s adresou URL «accounts.google.com.amp.tinyurl.com" namiesto "accounts.google.com«, Ak sa zobrazuje na typickej stránke rozhrania webových stránok Google.
Prostredníctvom nášho vlastného výskumu, ako aj prieskumu doterajšej akademickej práce, tím Chrome Security UX zistil, že používateľské rozhranie EV nechráni používateľov tak, ako by mali.
Zdá sa, že používatelia nerobia bezpečné rozhodnutia (napríklad nezadávajú heslo alebo informácie o kreditnej karte) pri zmene alebo odstránení používateľského rozhrania, pretože používateľské rozhranie EV by potrebovalo poskytnúť významnú ochranu.
Odznak EV navyše zaberá cenné nehnuteľnosti na obrazovke, môže obsahovať aktívne zavádzajúce názvy spoločností na prominentnom používateľskom rozhraní a narúša smerovanie produktu Chrome smerom k neutrálnej, nie pozitívnej obrazovke zabezpečeného pripojenia.
Vzhľadom na tieto problémy a ich obmedzenú užitočnosť si myslíme, že patria k informáciám na stránke najlepšie.
Zmena používateľského rozhrania EV je súčasťou širšieho trendu medzi prehľadávačmi zlepšovať ich povrchy zabezpečeného používateľského rozhrania vo svetle posledných pokrokov v porozumení tohto problematického priestoru.
Ukázalo sa, že na to, aby u väčšiny používateľov vzbudil dôveru v web, stačilo iba to, aby bola stránka podobná originálu.
Výsledkom je, dospelo sa k záveru, že pozitívne bezpečnostné ukazovatele nie sú účinné, a preto je potrebné zamerať sa na organizáciu výstupu explicitných varovaní o problémoch.
Napríklad podobná schéma sa nedávno použila na pripojenia HTTP, ktoré sú výslovne označené ako nezabezpečené.
Súčasne informácie zobrazené pre certifikáty EV zaberajú v adresnom riadku príliš veľa miesta, môže to spôsobiť ďalšie nejasnosti pri prezeraní názvu spoločnosti v rozhraní prehliadača, taktiež to porušuje zásadu neutrality produktu a používa sa na falšovanie.
Napríklad certifikačná autorita Symantec vydala certifikát Identity Verified EV, ktorého názov zobrazoval oklamaných používateľov, najmä keď sa skutočné meno otvorenej domény nezmestilo do panela s adresou.
Fuente: https://blog.chromium.org