Geçen hafta, google geliştiricileri Google Chrome web tarayıcısı projesinden sorumlu olanlar EV düzeyinde sertifikaların ayrı etiketlenmesini devre dışı bırakma kararı aldı (Genişletilmiş Doğrulama) Google Chrome'da.
Si önceden benzer sertifikalara sahip siteler için doğrulanmış şirket adı görüntüleniyordu adres çubuğundaki sertifika merkezi tarafından, şimdi bu siteler için aynı güvenli bağlantı göstergesi görüntülenecek etki alanı erişim doğrulamalı sertifikalara göre. Ve Google Chrome 77'nin bir sonraki sürümünden itibaren, EV sertifikalarının kullanımına ilişkin bilgiler yalnızca güvenli bağlantı simgesine tıklandığında görüntülenen açılır menüde gösterilecektir.
Bu hareketi referans alarak geçen yıl (2018'de), Apple çalışanları Safari tarayıcısı için benzer bir karar verdiler ve iOS 12 ve macOS 10.14'te kullanıma sundular.
Sertifikaları veren varlıklar neden artık tarayıcı çubuğunda görüntülenmeyecek?
Google geliştiricilerinin bu hamlesi Google tarafından yürütülen bir araştırmadan türetilmiştir, göstergenin kullanıldığı gösterildi Daha önce EV sertifikaları için, farklılığa dikkat etmeyen ve sitelere hassas verilerin girilmesi konusunda karar verirken kullanmayan kullanıcılar için beklenen korumayı sağlamıyordu.
Google çalışmasında kalıcılık Kullanıcıların% 85'inin adres çubuğundaki mevcudiyet kimlik bilgileriyle girmesinin engellenmediği tespit edildi. URL'si «hesaplar.google.com.amp.tinyurl.com" onun yerine "hesaplar.google.com«, Google sitesinin tipik arayüz sayfasında görünüyorsa.
Chrome Security UX ekibi, kendi araştırmamızın yanı sıra önceki akademik çalışmalarla ilgili bir anket aracılığıyla, EV kullanıcı arayüzünün kullanıcıları amaçlandığı şekilde korumadığını belirledi.
Kullanıcı Arabirimi değiştirildiğinde veya kaldırıldığında, kullanıcıların güvenli kararlar vermediği (şifre veya kredi kartı bilgilerini girmeme gibi), EV kullanıcı arayüzünün önemli ölçüde koruma sağlaması gerekeceğinden.
Ek olarak, EV rozeti değerli ekran alanını kaplar, önemli bir kullanıcı arayüzünde aktif olarak yanıltıcı şirket adlarını içerebilir ve Chrome'un ürününün güvenli bağlantılar için pozitif yerine nötr bir ekrana yönelmesine engel olur.
Bu sorunlar ve sınırlı faydası nedeniyle, en iyi sayfanın sayfadaki bilgilere ait olduğunu düşünüyoruz.
EV kullanıcı arayüzünün değiştirilmesi, tarayıcılar arasında, bu sorunlu alanı anlamadaki son gelişmeler ışığında güvenlik kullanıcı arayüzü yüzeylerini iyileştirme eğiliminin bir parçasıdır.
Çoğu kullanıcı için siteye güven uyandırmak için, sayfayı orijinaline benzer hale getirmenin yeterli olduğu ortaya çıktı.
Sonuç olarak, pozitif güvenlik göstergelerinin etkili olmadığı ve açık uyarıların çıktılarının düzenlenmesine odaklanmaya değer olduğu sonucuna varılmıştır. sorunlar hakkında.
Örneğin, yakın zamanda, güvenli olmadığı açıkça işaretlenen HTTP bağlantılarına benzer bir şema uygulandı.
Aynı zamanda, EV sertifikaları için görüntülenen bilgiler adres çubuğunda çok fazla yer kaplıyor, şirketin adını tarayıcı arayüzünde görüntülerken daha fazla kafa karışıklığına yol açabilir ve ayrıca ürün tarafsızlığı ilkesini ihlal eder ve sahtekarlık için kullanılır.
Örneğin, Symantec Sertifika Yetkilisi, özellikle açık alanın gerçek adı adres çubuğuna sığmadığında, adı aldatılmış kullanıcıları gösteren bir Kimlik Doğrulamalı EV sertifikası yayınladı.
kaynak: https://blog.chromium.org