Letzte Woche Google-Entwickler die für das Google Chrome-Webbrowser-Projekt zuständig sind Sie beschlossen, die getrennte Kennzeichnung von EV-Level-Zertifikaten zu deaktivieren (Erweiterte Validierung) in Google Chrome.
Ja zuvor wurde für Standorte mit ähnlichen Zertifikaten der Name des überprüften Unternehmens angezeigt von der Zertifizierungsstelle in der Adressleiste, Jetzt wird für diese Sites dieselbe Anzeige für sichere Verbindungen angezeigt als für Zertifikate mit Domainzugriffsbestätigung. Ab der nächsten Version von Google Chrome 77 werden die Informationen zur Verwendung von EV-Zertifikaten nur im Dropdown-Menü angezeigt, das angezeigt wird, wenn Sie auf das Symbol für eine sichere Verbindung klicken.
Ausgehend von dieser Bewegung haben die Menschen von Apple traf eine ähnliche Entscheidung für den Safari-Browser und implementierte diese auf iOS 12 und macOS 10.14.
Es ist wichtig zu betonen, dass EV-Zertifikate die angegebenen Identifikationsparameter bestätigen und dass das Zertifizierungszentrum die Dokumente in der Domäne und die physische Anwesenheit des Ressourcenbesitzers überprüfen muss.
Warum werden die Entitäten, die die Zertifikate in der Browserleiste ausstellen, nicht mehr angezeigt?
Dieser Schritt von Google-Entwicklern Es ist aus einer Studie von Google abgeleitet, wo gezeigt wurde, dass der zuvor für EV-Zertifikate verwendete Indikator nicht den erwarteten Schutz für Benutzer bot, die den Unterschied nicht beachteten und ihn nicht bei Entscheidungen über die Eingabe vertraulicher Daten auf den Websites verwendeten.
Dauerhaftigkeit in der Google-Studie Es wurde festgestellt, dass 85% der Benutzer nicht daran gehindert wurden, die Anwesenheitsinformationen in die Adressleiste einzugeben URL "accounts.google.com.amp.tinyurl.com"Anstelle von"accounts.google.com“, Wenn es auf der typischen Benutzeroberflächenseite der Google-Site angezeigt wird.
Das Chrome Security UX-Team hat durch eigene Untersuchungen sowie durch eine Umfrage früherer akademischer Arbeiten festgestellt, dass die EV-Benutzeroberfläche die Benutzer nicht wie beabsichtigt schützt.
Benutzer scheinen keine sicheren Entscheidungen zu treffen (z. B. keine Eingabe des Passworts oder der Kreditkarteninformationen), wenn die Benutzeroberfläche geändert oder gelöscht wird, da die EV-Benutzeroberfläche einen erheblichen Schutz bieten müsste.
Darüber hinaus nimmt das EV-Logo wertvollen Platz auf dem Bildschirm ein, kann Firmennamen darstellen, die eine prominente Benutzeroberfläche aktiv verwirren, und die Produktausrichtung von Chrome auf einem neutralen anstatt positiven Bildschirm für sichere Verbindungen beeinträchtigen .
Aufgrund dieser Probleme und ihrer eingeschränkten Nützlichkeit glauben wir, dass es besser zu den Informationen auf der Seite gehört.
Die Änderung der EV-Benutzeroberfläche ist Teil eines breiteren Trends unter den Browsern, die Oberflächen ihrer Sicherheitsbenutzeroberfläche angesichts der jüngsten Fortschritte beim Verständnis dieses problematischen Bereichs zu verbessern.
Um das Vertrauen der meisten Benutzer in die Website zu wecken, hat es sich als ausreichend erwiesen, die Seite nur dem Original ähnlich zu machen.
Als Ergebnis Es wurde der Schluss gezogen, dass positive Sicherheitsindikatoren nicht wirksam sind, und es lohnt sich, den Ausstieg aus expliziten Warnungen zu organisieren Über die Probleme
Beispielsweise wurde kürzlich ein ähnliches Schema auf HTTP-Verbindungen angewendet, die explizit als unsicher markiert sind.
Zur gleichen Zeit Die für EV-Zertifikate angezeigten Informationen belegen zu viel Platz in der Adressleiste, kann zusätzliche Verwirrung stiften, wenn der Name des Unternehmens in der Browser-Oberfläche angezeigt wird, und verstößt außerdem gegen das Prinzip der Neutralität des Produkts und wird für Phishing verwendet.
Beispielsweise hat die Symantec-Zertifizierungsstelle ein Identity Verified EV-Zertifikat ausgestellt, dessen Name die betrogenen Benutzer anzeigt, insbesondere wenn der tatsächliche Name der offenen Domain nicht in die Adressleiste passt.
Quelle: https://blog.chromium.org
