Pada Chrome 77, verifikasi sertifikat SSL akan ditampilkan secara merata

Minggu lalu, Pengembang Google yang bertanggung jawab atas proyek browser web Google Chrome mereka membuat keputusan untuk menonaktifkan pelabelan sertifikat tingkat EV yang terpisah (Validasi Diperpanjang) di Google Chrome.

Ya sebelumnya untuk situs dengan sertifikat serupa nama perusahaan yang diverifikasi ditunjukkan oleh pusat sertifikasi di bilah alamat, sekarang untuk situs-situs ini indikator koneksi aman yang sama akan ditampilkan selain untuk sertifikat dengan verifikasi akses domain. Dan dari apa yang akan menjadi versi selanjutnya dari Google Chrome 77, informasi tentang penggunaan sertifikat EV hanya akan ditampilkan di menu drop-down yang ditampilkan ketika Anda mengklik ikon koneksi aman.

Mengambil gerakan ini sebagai referensi, tahun lalu (tahun 2018), orang-orang dari Apple membuat keputusan serupa untuk browser Safari dan menerapkannya di iOS 12 dan macOS 10.14.

Penting untuk menekankan bahwa sertifikat EV mengkonfirmasi parameter identifikasi yang diklaim dan meminta pusat sertifikasi untuk memverifikasi dokumen dalam domain dan keberadaan fisik pemilik sumber daya.

Mengapa entitas yang mengeluarkan sertifikat di bilah browser tidak lagi ditampilkan?

Langkah ini oleh pengembang Google Ini berasal dari penelitian yang dilakukan oleh Google, di mana ditunjukkan bahwa indikator yang digunakan sebelumnya untuk sertifikat EV tidak memberikan perlindungan yang diharapkan untuk pengguna yang tidak memperhatikan perbedaan dan tidak menggunakannya ketika membuat keputusan tentang pemasukan data rahasia di situs.

Permanen dalam studi Google Ditemukan bahwa 85% pengguna tidak dicegah masuk dengan kredensial keberadaan di bilah alamat URL "accounts.google.com.amp.tinyurl.com"Bukannya"accounts.google.com“, Jika itu muncul di halaman antarmuka khas situs Google.

Melalui penelitian kami sendiri, serta survei pekerjaan akademis sebelumnya, tim UX Chrome Security telah menentukan bahwa antarmuka pengguna EV tidak melindungi pengguna sebagaimana dimaksud.

Pengguna tampaknya tidak membuat keputusan aman (seperti tidak memasukkan kata sandi atau informasi kartu kredit) ketika UI diubah atau dihapus, karena EV UI perlu memberikan perlindungan yang signifikan.

Selain itu, lencana EV menempati ruang layar yang berharga, dapat menampilkan nama perusahaan yang secara aktif membingungkan antarmuka pengguna yang menonjol dan mengganggu arah produk Chrome ke layar yang netral, bukan positif, untuk koneksi yang aman .

Karena masalah-masalah ini dan utilitasnya yang terbatas, kami yakin itu lebih baik untuk informasi pada halaman.

Perubahan antarmuka pengguna EV adalah bagian dari tren yang lebih luas di antara browser untuk meningkatkan permukaan antarmuka pengguna keamanan mereka mengingat kemajuan terbaru dalam memahami ruang bermasalah ini.

Untuk membangkitkan kepercayaan pada situs untuk sebagian besar pengguna, ternyata cukup hanya dengan membuat halaman mirip dengan aslinya.

Sebagai hasilnya, disimpulkan bahwa indikator keselamatan positif tidak efektif dan perlu fokus untuk mengatur keluarnya peringatan eksplisit Tentang masalah

Misalnya, skema serupa baru-baru ini diterapkan pada koneksi HTTP yang secara eksplisit ditandai sebagai tidak aman.

Pada saat bersamaan informasi yang ditunjukkan untuk sertifikat EV memakan terlalu banyak ruang di bilah alamat, dapat menimbulkan kebingungan tambahan saat melihat nama perusahaan di antarmuka browser, dan juga melanggar prinsip netralitas produk dan digunakan untuk phishing.

Misalnya, Otoritas Sertifikasi Symantec mengeluarkan sertifikat EV Identitas Terverifikasi, yang namanya menunjukkan pengguna yang tertipu, terutama ketika nama asli dari domain terbuka tidak cocok di bilah alamat.

Sumber: https://blog.chromium.org