อาทิตย์ที่แล้ว, นักพัฒนาของ Google ที่รับผิดชอบโครงการเว็บเบราว์เซอร์ Google Chrome ตัดสินใจปิดการใช้งานการติดฉลากใบรับรองระดับ EV แยกต่างหาก (การตรวจสอบเพิ่มเติม) ใน Google Chrome
Si ก่อนหน้านี้สำหรับไซต์ที่มีใบรับรองที่คล้ายกันจะมีการแสดงชื่อ บริษัท ที่ได้รับการยืนยัน โดยศูนย์รับรองในแถบที่อยู่ ตอนนี้สำหรับไซต์เหล่านี้ตัวบ่งชี้การเชื่อมต่อที่ปลอดภัยเดียวกันจะปรากฏขึ้น มากกว่าใบรับรองที่มีการยืนยันการเข้าถึงโดเมน และจากสิ่งที่จะเป็นเวอร์ชันถัดไปของ Google Chrome 77 ข้อมูลเกี่ยวกับการใช้ใบรับรอง EV จะแสดงเฉพาะในเมนูแบบเลื่อนลงที่ปรากฏขึ้นเมื่อคลิกที่ไอคอนการเชื่อมต่อที่ปลอดภัย
เมื่อใช้การย้ายนี้เป็นข้อมูลอ้างอิงเมื่อปีที่แล้ว (ในปี 2018) ผู้คนใน Apple ได้ตัดสินใจคล้ายกันสำหรับเบราว์เซอร์ Safari และเปิดตัวใน iOS 12 และ macOS 10.14
เหตุใดเอนทิตีที่ออกใบรับรองจึงไม่แสดงในแถบเบราว์เซอร์อีกต่อไป
ความเคลื่อนไหวนี้โดยนักพัฒนาของ Google ได้มาจากการศึกษาของ Google, ที่แสดงว่าตัวบ่งชี้ที่ใช้ ก่อนหน้านี้สำหรับใบรับรอง EV ไม่ได้ให้การปกป้องที่คาดหวังสำหรับผู้ใช้ที่ไม่ใส่ใจกับความแตกต่างและไม่ได้ใช้เมื่อทำการตัดสินใจเกี่ยวกับการป้อนข้อมูลที่ละเอียดอ่อนบนไซต์
ความถาวรในการศึกษาของ Google พบว่า 85% ของผู้ใช้ไม่ได้รับการป้องกันไม่ให้ป้อนด้วยข้อมูลรับรองการแสดงตนในแถบที่อยู่ URL «account.google.com.amp.tinyurl.com" แทน "account.google.com«หากปรากฏในหน้าอินเทอร์เฟซทั่วไปของไซต์ Google
จากการวิจัยของเราเองรวมถึงการสำรวจผลงานทางวิชาการก่อนหน้านี้ทีม Chrome Security UX ได้พิจารณาแล้วว่า EV UI ไม่ได้ปกป้องผู้ใช้ตามที่ตั้งใจไว้
ผู้ใช้ดูเหมือนจะไม่ตัดสินใจอย่างปลอดภัย (เช่นไม่ป้อนรหัสผ่านหรือข้อมูลบัตรเครดิต) เมื่อมีการเปลี่ยนแปลงหรือลบ UI เนื่องจาก EV UI จำเป็นต้องให้การป้องกันที่สำคัญ
นอกจากนี้ป้าย EV ยังใช้ประโยชน์จากหน้าจอที่มีคุณค่าสามารถแสดงชื่อ บริษัท ที่ทำให้เข้าใจผิดในอินเทอร์เฟซผู้ใช้ที่โดดเด่นและขัดขวางการขับเคลื่อนผลิตภัณฑ์ของ Chrome ไปสู่การแสดงผลที่เป็นกลางแทนที่จะเป็นเชิงบวกเพื่อการเชื่อมต่อที่ปลอดภัย
เนื่องจากปัญหาเหล่านี้และประโยชน์ที่ จำกัด เราคิดว่าเป็นข้อมูลที่ดีที่สุดในหน้า
การปรับเปลี่ยนอินเทอร์เฟซผู้ใช้ EV เป็นส่วนหนึ่งของแนวโน้มที่กว้างขึ้นในหมู่เบราว์เซอร์เพื่อปรับปรุงพื้นผิวอินเทอร์เฟซผู้ใช้ด้านความปลอดภัยเนื่องจากความก้าวหน้าล่าสุดในการทำความเข้าใจพื้นที่ที่มีปัญหานี้
เพื่อกระตุ้นความไว้วางใจในไซต์สำหรับผู้ใช้ส่วนใหญ่มันก็เพียงพอแล้วที่จะทำให้หน้าคล้ายกับต้นฉบับ
เป็นผลให้ สรุปได้ว่าตัวบ่งชี้ความปลอดภัยในเชิงบวกไม่มีประสิทธิผลและควรเน้นที่การจัดระเบียบผลลัพธ์ของคำเตือนที่ชัดเจน เกี่ยวกับปัญหา
ตัวอย่างเช่นเมื่อเร็ว ๆ นี้รูปแบบที่คล้ายกันได้ถูกนำไปใช้กับการเชื่อมต่อ HTTP ที่มีการระบุไว้อย่างชัดเจนว่าไม่ปลอดภัย
ในเวลาเดียวกัน ข้อมูลที่แสดงสำหรับใบรับรอง EV ใช้พื้นที่มากเกินไปในแถบที่อยู่อาจทำให้เกิดความสับสนเพิ่มเติมเมื่อดูชื่อ บริษัท ในอินเทอร์เฟซของเบราว์เซอร์และยังละเมิดหลักการความเป็นกลางของผลิตภัณฑ์และใช้สำหรับการปลอมแปลง
ตัวอย่างเช่น Symantec Certification Authority ได้ออกใบรับรอง Identity Verified EV ซึ่งเป็นชื่อที่แสดงผู้ใช้หลอกลวงโดยเฉพาะเมื่อชื่อจริงของโดเมนที่เปิดอยู่ไม่ตรงกับแถบที่อยู่
Fuente: https://blog.chromium.org