Förra veckan, Google-utvecklare ansvarar för Google Chrome webbläsarprojekt de fattade beslutet att inaktivera märkningen av separata EV-nivåcertifikat (Utökad validering) på Google Chrome.
Ja tidigare för webbplatser med liknande certifikat anges verifierade företagsnamn av certifieringscentret i adressfältet, nu för dessa webbplatser kommer samma säker anslutningsindikator att visas utöver certifikat med verifiering av domänåtkomst. Och från vad som kommer att bli nästa version av Google Chrome 77, kommer information om att använda ett EV-certifikat bara att visas i rullgardinsmenyn som visas när du klickar på ikonen för säker anslutning.
Förra året (2018) tog denna rörelse som referens, människor från Apple fattade ett liknande beslut för Safari-webbläsaren och implementerade det på iOS 12 och macOS 10.14.
Det är viktigt att betona att EV-certifikatet bekräftar de påstådda identifieringsparametrarna och ber certifieringscentret att verifiera dokument i domänen och resursägarens fysiska närvaro.
Varför visas inte den enhet som utfärdade certifikatet i webbläsarfältet?
Detta steg är av Google-utvecklaren Detta kommer från forskning utförd av Google, där det visas att indikatorerna som tidigare använts för EV-certifikat inte ger det förväntade skyddet för användare som inte uppmärksammar skillnader och inte använder dem när de fattar beslut om att ange konfidentiella data på webbplatsen.
Permanent i Google-studier Det visade sig att 85% av användarna inte hindrades från att logga in med närvaro-referenser i adressfältet URL “accounts.google.com.amp.tinyurl.com“Istället”accounts.google.com“Om det visas på en typisk Googles webbplatsgränssnittsida.
Genom vår egen forskning, såväl som tidigare akademiska arbetsundersökningar, har UX Chrome Security-teamet fastställt att EV-användargränssnittet inte skyddar användarna enligt avsikten.
Användare verkar inte fatta säkra beslut (som att inte ange lösenord eller kreditkortsinformation) när användargränssnittet ändras eller raderas, eftersom EV UI måste ge ett betydande skydd.
Dessutom upptar EV-märket värdefullt skärmutrymme, kan visa företagsnamn som aktivt förvirrar det framträdande användargränssnittet och stör riktningen för Chrome-produkter till en neutral, inte positiv skärm för en säker anslutning.
På grund av dessa problem och deras begränsade användbarhet anser vi att det är bättre för information på sidan.
Ändringar av EV-användargränssnittet är en del av en bredare trend bland webbläsare för att förbättra ytan på deras säkerhetsanvändargränssnitt med tanke på de senaste framstegen när det gäller att förstå detta problematiska utrymme.
För att skapa förtroende för webbplatsen för de flesta användare räcker det bara för att sidan ska se ut som originalet.
Som ett resultat, man drog slutsatsen att positiva säkerhetsindikatorer var ineffektiva och behövde fokusera på att reglera uttryckliga varningar Om problem
Till exempel har ett liknande schema nyligen tillämpats på HTTP-anslutningar som uttryckligen markerades som osäkra.
På samma gång information som visas för EV-certifikat tar för mycket utrymme i adressfältet, kan orsaka ytterligare förvirring när du tittar på företagsnamn i webbläsargränssnittet och bryter också med principen om produktneutralitet och används för phishing.
Till exempel utfärdar Symantec Certification Authority ett EV Identity Verified-certifikat, vars namn indikerar en lurad användare, särskilt när de ursprungliga namnen på den öppna domänen inte matchar i adressfältet.
Källa: https://blog.chromium.org
