В Chrome 77 будет прекращена маркировка сертификатов с расширенной верификацией

Компания Google приняла решение отказаться от отдельной пометки сертификатов уровня EV (Extended Validation) в Chrome. Если раньше для сайтов с подобными сертификатами в адресной строке выводилось название проверенной удостоверяющим центром компании, то теперь для данных сайтов будет отображаться тот же индикатор защищённого соединения, что и для сертификатов с верификацией доступа к домену.

Начиная с Chrome 77 информация о применении EV-сертификатов будет отображаться только в выпадающем меню, показываемом при клике на значок защищённого соединения. В 2018 году аналогичное решение приняла компания Apple для браузера Safari и воплотила его в выпусках iOS 12 и macOS 10.14. Напомним, что EV-сертификаты подтверждают заявленные параметры идентификации и требуют проведения удостоверяющим центром проверки документов о принадлежности домена и физическое присутствие владельца ресурса.

Проведённое в Google исследование показало, что ранее применяемый для EV-сертификатов индикатор не предоставлял ожидаемой защиты пользователей, которые не обращали внимание на разницу и не использовали её при принятии решений о вводе конфиденциальных данных на сайтах. Проведённое в Google исследование показало, что 85% пользователей не остановило от ввода учётных данных наличие в адресной строке URL «accounts.google.com.amp.tinyurl.com» вместо «accounts.google.com», в случае, если на странице отображается типичный для сайта Google интерфейс.

Для того, чтобы вызвать доверие к сайту у большинства пользователей оказалось достаточным лишь сделать страницу похожей на оригинал. В результате был сделан вывод, что позитивные индикаторы безопасности не эффективны и стоит сосредоточить внимание на организацию вывода явных предупреждений о проблемах. Например, подобная схема с недавних пор применяется для HTTP-соединений, которые явно помечаются как небезопасные.

При этом выводимая для EV-сертификатов информация занимает слишком много места в адресной строке, может приводить к дополнительному замешательству при виде названия компании в интерфейсе браузера, а также нарушает принцип нейтральности продукта и используется для фишинга. Например, удостоверяющий центр Symantec выдал EV-сертификат компании «Identity Verified», вывод названия которой вводил пользователей в заблуждение, особенно когда реальное имя открытого домена не вмещалось в адресную строку:

0_1565642211.jpg 0_1565642187.png

©  OpenNet