В Chrome 77 и Firefox 70 будет прекращена маркировка сертификатов с расширенной верификацией

12 августа 2019 года

Компания Google приняла решение отказаться от отдельной пометки сертификатов уровня EV ( Extended Validation) в Chrome. Если раньше для сайтов с подобными сертификатами в адресной строке выводилось название проверенной удостоверяющим центром компании, то теперь для данных сайтов будет отображаться тот же индикатор защищённого соединения, что и для сертификатов с верификацией доступа к домену.

Начиная с Chrome 77 информация о применении EV-сертификатов будет отображаться только в выпадающем меню, показываемом при клике на значок защищённого соединения. В 2018 году аналогичное решение приняла компания Apple для браузера Safari и воплотила его в выпусках iOS 12 и macOS 10.14. Напомним, что EV-сертификаты подтверждают заявленные параметры идентификации и требуют проведения удостоверяющим центром проверки документов о принадлежности домена и физическое присутствие владельца ресурса.

Проведённое в Google исследование показало, что ранее применяемый для EV-сертификатов индикатор не предоставлял ожидаемой защиты пользователей, которые не обращали внимание на разницу и не использовали её при принятии решений о вводе конфиденциальных данных на сайтах. Проведённое в Google исследование показало, что 85% пользователей не остановило от ввода учётных данных наличие в адресной строке URL "accounts.google.com.amp.tinyurl.com" вместо "accounts.google.com", в случае, если на странице отображается типичный для сайта Google интерфейс.

Для того, чтобы вызвать доверие к сайту у большинства пользователей оказалось достаточным лишь сделать страницу похожей на оригинал. В результате был сделан вывод, что позитивные индикаторы безопасности не эффективны и стоит сосредоточить внимание на организацию вывода явных предупреждений о проблемах. Например, подобная схема с недавних пор применяется для HTTP-соединений, которые явно помечаются как небезопасные.

При этом выводимая для EV-сертификатов информация занимает слишком много места в адресной строке, может приводить к дополнительному замешательству при виде названия компании в интерфейсе браузера, а также нарушает принцип нейтральности продукта и используется (Архивная копия от 27 ноября 2019 на Wayback Machine) для фишинга. Например, удостоверяющий центр Symantec выдал EV-сертификат компании "Identity Verified", вывод названия которой вводил пользователей в заблуждение, особенно когда реальное имя открытого домена не вмещалось в адресную строку:

Дополнение: Разработчики Firefox приняли аналогичное решение и не будут отдельно выделять EV-сертификаты в адресной стоке начиная с выпуска Firefox 70. В Firеfox 70 также будет изменено отображение протоколов HTTPS и HTTP в адресной строке.