Koniec z zieloną kłódką! Chrome i Firefox przestaną wyświetlać certyfikat EV SSL

Koniec z zieloną kłódką! Chrome i Firefox przestaną wyświetlać certyfikat EV SSL

 Krzysztof Sulikowski
Krzysztof Sulikowski
19:09
14.08.2019
683 wyświetlenia

Google Chrome i Mozilla Firefox przestaną wkrótce wyświetlać certyfikaty rozszerzonej walidacji (Extended Validation Certification) na pasku adresu. Funkcjonalność ta wykorzystywana jest zwykle przez firmy, by zapewnić użytkowników, że ich dane są szyfrowane, a witryna posiada odpowiedni certyfikat, by przetwarzać wrażliwe informacje, takie jak informacje o karcie kredytowej czy dane uwierzytelniania.

EV SSL sygnalizowany jest przez niewielką, zieloną kłódkę na pasku adresu. Google uważa, że jego ikona zajmuje zbyt dużo miejsca i nie pełni funkcji, którą z założenia powinna pełnić, dlatego zostanie przeniesiona. Zmiana wejdzie w życie w aktualizacji Chrome 77. Firma wyjaśnia swój pogląd na tę sprawę oraz powody usunięcia ikony z Chrome:

Na podstawie naszych własnych badań, a także wcześniejszych badań akademickich zespół Chrome Security UX ustalił, że EV UI nie chroni użytkowników tak, jak powinien. Nie wygląda na to, by użytkownicy dokonywali wyborów bezpieczeństwa (np. nie wprowadzali informacji o karcie kredytowej), gdy UI jest zmieniony lub usunięty. Co więcej, wskaźnik EV zabiera cenne miejsce na ekranie, może prezentować aktywnie dezorientujące nazwy firm w czołowym UI oraz koliduje z nakierowaniem produktu Chrome w stronę raczej neutralnego niż pozytywnego wyświetlania bezpiecznych połączeń. Z uwagi na te problemy i ograniczoną użyteczność sądzimy, że lepszym dla niego miejscem są informacje o stronie.
– Google

Idąc w ślad za Google, swoje wyjaśnienia opublikowała też Mozilla. Również ona przeniesie wskaźnik certyfikatu z paska adresu do panelu tożsamości. Zmiana zostanie wprowadzona w aktualizacji Firefox 70. Powody są podobne:

Efektywność EV była podawana w wątpliwość wiele razy przez ostatnie kilka lat. Są poważne wątpliwości, czy użytkownicy zauważają brak pozytywnych wskaźników bezpieczeństwa, a proof-of-concepts winią EV za phishing przeciwko domenom. Niedawno pokazano, że certyfikaty EV z kolidującymi nazwami podmiotów mogą być generowane przez wybranie innej jurysdykcji. Minęło od tego czasu 18 miesięcy i nie zidentyfikowano żadnych zmian, które miałyby rozwiązać ten problem.
– Mozilla

Okazuje się, że Chrome i Firefox nie są jedynymi przeglądarkami, które postanowiły na te fakty zareagować. W innych przeglądarkach rozwiązano to na różne sposoby. Safari nie pokazuje już na pasku adresu nazwy podmiotu EV zamiast nazwy domeny i wyróżnia EV jedynie zielonym kolorem. Microsoft Edge również nie pokazuje nazwy podmiotu EV na pasku adresu.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://groups.google.com/forum/#!msg/mozilla.dev.platform/o18n0SZRyUE/bsbGzuO6AQAJ

Polecamy również w kategorii Bezpieczeństwo