Förra veckan, google-utvecklare som ansvarar för webbläsarprojektet Google Chrome fattade beslutet att inaktivera separat märkning av EV-nivåcertifikat (Utökad validering) i Google Chrome.
Si tidigare för webbplatser med liknande certifikat visades det verifierade företagsnamnet av certifieringscentret i adressfältet, nu för dessa webbplatser kommer samma säkra anslutningsindikator att visas än för certifikat med domänåtkomstverifiering. Och det är från och med nästa version av Google Chrome 77, informationen om användningen av EV-certifikat visas endast i rullgardinsmenyn som visas när du klickar på ikonen för säker anslutning.
Med detta drag som en referens, förra året (2018), fattade folket på Apple ett liknande beslut för Safari-webbläsaren och rullade ut det i iOS 12 och macOS 10.14.
Varför visas inte enheterna som utfärdar certifikaten i webbläsarfältet?
Detta drag av Google-utvecklare härrör från en studie utförd av Google, där det visades att indikatorn används tidigare för EV-certifikat gav det inte det förväntade skyddet för användare som inte uppmärksammade skillnaden och inte använde det när de fattade beslut om att ange känslig information på webbplatser.
Permanens i Google-studien Det konstaterades att 85% av användarna inte hindrades från att komma in med närvarouppgifterna i adressfältet URL «accounts.google.com.amp.tinyurl.com" istället för "accounts.google.com«, Om det visas på den vanliga gränssnittssidan på Googles webbplats.
Genom vår egen forskning, liksom en undersökning av tidigare akademiskt arbete, har Chrome Security UX-teamet fastställt att EV UI inte skyddar användare som avsett.
Användare verkar inte fatta säkra beslut (som att inte ange lösenord eller kreditkortsinformation) när användargränssnittet ändras eller tas bort, eftersom EV-gränssnittet skulle behöva ge ett betydande skydd.
Dessutom tar EV-märket upp värdefulla skärmfastigheter, kan innehålla aktivt förvirrande företagsnamn i ett framträdande användargränssnitt och stör Chromes produktstyrning mot en neutral, snarare än positiv skärm för säkra anslutningar.
På grund av dessa problem och dess begränsade användbarhet tycker vi att det tillhör bäst informationen på sidan.
Ändringen av EV-användargränssnittet är en del av en bredare trend bland webbläsare att förbättra sina säkerhetsanvändargränssnittsytor mot bakgrund av de senaste framstegen när det gäller att förstå detta problematiska utrymme.
För att väcka förtroende för webbplatsen för de flesta användare visade det sig vara tillräckligt bara för att göra sidan liknande originalet.
Som ett resultat man drog slutsatsen att positiva säkerhetsindikatorer inte är effektiva och att det är värt att fokusera på att organisera resultatet av uttryckliga varningar om problemen.
Till exempel har ett liknande schema nyligen tillämpats på HTTP-anslutningar som uttryckligen är markerade som osäkra.
Samtidigt, informationen som visas för EV-certifikat tar för mycket utrymme i adressfältet, kan det leda till ytterligare förvirring när man visar företagsnamnet i webbläsargränssnittet, och det bryter också mot principen om produktneutralitet och används för spoofing.
Till exempel utfärdade Symantec Certification Authority ett identitetsverifierat EV-certifikat, vars namn visade lurade användare, särskilt när det verkliga namnet på den öppna domänen inte passade i adressfältet.
Fuente: https://blog.chromium.org