В Chrome 77 и Firefox 70 будет прекращена маркировка сертификатов с расширенной верификацией
12 августа 2019 года
Компания Google приняла решение отказаться от отдельной пометки сертификатов уровня EV ( Extended Validation) в Chrome. Если раньше для сайтов с подобными сертификатами в адресной строке выводилось название проверенной удостоверяющим центром компании, то теперь для данных сайтов будет отображаться тот же индикатор защищённого соединения, что и для сертификатов с верификацией доступа к домену.
Начиная с Chrome 77 информация о применении EV-сертификатов будет отображаться только в выпадающем меню, показываемом при клике на значок защищённого соединения. В 2018 году аналогичное решение приняла компания Apple для браузера Safari и воплотила его в выпусках iOS 12 и macOS 10.14. Напомним, что EV-сертификаты подтверждают заявленные параметры идентификации и требуют проведения удостоверяющим центром проверки документов о принадлежности домена и физическое присутствие владельца ресурса.
Проведённое в Google исследование показало, что ранее применяемый для EV-сертификатов индикатор не предоставлял ожидаемой защиты пользователей, которые не обращали внимание на разницу и не использовали её при принятии решений о вводе конфиденциальных данных на сайтах. Проведённое в Google исследование показало, что 85% пользователей не остановило от ввода учётных данных наличие в адресной строке URL "accounts.google.com.amp.tinyurl.com" вместо "accounts.google.com", в случае, если на странице отображается типичный для сайта Google интерфейс.
Для того, чтобы вызвать доверие к сайту у большинства пользователей оказалось достаточным лишь сделать страницу похожей на оригинал. В результате был сделан вывод, что позитивные индикаторы безопасности не эффективны и стоит сосредоточить внимание на организацию вывода явных предупреждений о проблемах. Например, подобная схема с недавних пор применяется для HTTP-соединений, которые явно помечаются как небезопасные.
При этом выводимая для EV-сертификатов информация занимает слишком много места в адресной строке, может приводить к дополнительному замешательству при виде названия компании в интерфейсе браузера, а также нарушает принцип нейтральности продукта и используется (Архивная копия от 27 ноября 2019 на Wayback Machine) для фишинга. Например, удостоверяющий центр Symantec выдал EV-сертификат компании "Identity Verified", вывод названия которой вводил пользователей в заблуждение, особенно когда реальное имя открытого домена не вмещалось в адресную строку:
Дополнение: Разработчики Firefox приняли аналогичное решение и не будут отдельно выделять EV-сертификаты в адресной стоке начиная с выпуска Firefox 70. В Firеfox 70 также будет изменено отображение протоколов HTTPS и HTTP в адресной строке.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.