Минулого тижня, розробники Google які відповідають за проект веб-браузера Google Chrome прийняв рішення заборонити окреме маркування сертифікатів рівня EV (Розширена перевірка) у Google Chrome.
Si раніше для сайтів із подібними сертифікатами відображалася перевірена назва компанії центром сертифікації в адресному рядку, тепер для цих сайтів буде відображатися той самий індикатор безпечного з'єднання ніж для сертифікатів із перевіркою доступу до домену. І саме в тому, що з наступної версії Google Chrome 77 інформація про використання сертифікатів EV відображатиметься лише у спадному меню, яке відображається при натисканні на піктограму безпечного з’єднання.
Взявши цей крок як довідковий, минулого року (у 2018 році) люди з Apple прийняли подібне рішення щодо браузера Safari і випустили його в iOS 12 та macOS 10.14.
Чому об’єкти, що видають сертифікати, більше не відображатимуться на панелі браузера?
Цей крок розробників Google випливає з дослідження, проведеного Google, де було показано, що використовується індикатор раніше для сертифікатів EV він не забезпечував очікуваного захисту для користувачів, які не звертали уваги на різницю та не використовували її при прийнятті рішень щодо введення конфіденційних даних на сайти.
Постійність у дослідженні Google Було виявлено, що 85% користувачів не мали заборони входити з обліковими даними присутності в адресному рядку URL «accounts.google.com.amp.tinyurl.com" замість "account.google.com«, Якщо він з’являється на типовій сторінці інтерфейсу сайту Google.
Завдяки власному дослідженню, а також опитуванню попередніх академічних робіт, команда Chrome Security UX визначила, що інтерфейс EV не захищає користувачів за призначенням.
Здається, користувачі не приймають безпечних рішень (наприклад, не вводять пароль або дані кредитної картки), коли користувальницький інтерфейс змінено або видалено, оскільки інтерфейс EV повинен забезпечити значний захист.
Окрім того, значок EV займає цінну нерухомість на екрані, може містити активно плутані назви компаній у видному користувацькому інтерфейсі та перешкоджає керуванню продуктами Chrome до нейтрального, а не позитивного екрану для безпечних з'єднань.
Через ці проблеми та обмежену корисність, ми вважаємо, що це найбільше належить до інформації на сторінці.
Зміна користувальницького інтерфейсу EV є частиною ширшої тенденції серед браузерів покращувати свої захисні поверхні користувальницького інтерфейсу у світлі останніх досягнень у розумінні цього проблемного простору.
Щоб викликати довіру до сайту у більшості користувачів, виявилося достатньо лише зробити сторінку схожою на оригінал.
В результаті, було зроблено висновок, що позитивні показники безпеки не є ефективними, і варто зосередитись на організації виведення явних попереджень про проблеми.
Наприклад, недавно подібну схему застосовували до з'єднань HTTP, які явно позначені як небезпечні.
Водночас інформація, що відображається для EV-сертифікатів, займає занадто багато місця в адресному рядку, це може призвести до додаткової плутанини при перегляді назви компанії в інтерфейсі браузера, а також порушує принцип нейтральності продукту і використовується для підробки.
Наприклад, Центр сертифікації Symantec видав сертифікат EV Identity Verified, ім’я якого показувало обдурених користувачів, особливо коли справжнє ім’я відкритого домену не входило в адресний рядок.
Фуенте: https://blog.chromium.org