上个星期, 谷歌开发人员 负责Google Chrome浏览器网络项目 决定禁用单独的EV级证书标签 (扩展验证) 在Google Chrome浏览器中。
Si 以前对于具有类似证书的网站,已显示经过验证的公司名称 在地址栏中的认证中心旁边, 现在对于这些站点,将显示相同的安全连接指示符 比具有域访问验证的证书要多。 正是从下一版Google Chrome 77开始,有关EV证书使用的信息将仅在单击安全连接图标时显示的下拉菜单中显示。
以此为参考,去年(2018年),苹果公司的人们对Safari浏览器做出了类似的决定,并在iOS 12和macOS 10.14中推出了该浏览器。
为什么颁发证书的实体将不再显示在浏览器栏中?
Google开发人员的这一举动 源自Google进行的一项研究, 显示该指标使用的地方 以前对于EV证书,它没有为那些不注意差异并且在做出关于在网站上输入敏感数据的决定时未使用差异的用户提供预期的保护。
Google研究中的永久性 发现没有阻止85%的用户使用地址栏中的状态凭据进行输入 网址«account.google.com.amp.tinyurl.com“ 代替 ”account.google.com«,如果它出现在Google网站的典型界面页面上。
通过我们自己的研究以及对以前的学术研究的调查,Chrome Security UX小组确定EV UI不能按预期保护用户。
更改或删除UI时,用户似乎没有做出安全的决定(例如,不输入密码或信用卡信息),因为EV UI需要提供重要的保护。
此外,EV徽章占用了宝贵的屏幕空间,可以在醒目的用户界面中积极显示混乱的公司名称,并且会干扰Chrome的产品转向中性(而不是正面)的屏幕以进行安全连接。
由于这些问题及其有限的用途,我们认为它最好属于页面上的信息。
鉴于最近在了解此问题空间方面的进展,EV用户界面的更改是浏览器广泛趋势中的一部分,以改善其安全性用户界面。
为了引起大多数用户对站点的信任,事实证明足以使页面与原始页面相似。
结果是, 结论是积极的安全指标无效,值得将重点放在组织明确警告的输出上 关于这些问题。
例如,最近将类似的方案应用于显式标记为不安全的HTTP连接。
与此同时, EV证书显示的信息在地址栏中占用了太多空间,这可能会导致在浏览器界面中查看公司名称时造成其他混乱,并且还违反了产品中立性原则,并且被用于欺骗。
例如,赛门铁克证书颁发机构颁发了经过身份验证的EV证书,该证书的名称显示受骗用户,尤其是当开放域的真实名称不适合地址栏时。
数据来源: https://blog.chromium.org