Chrome,Firefox到删除扩展验证证书信号
谷歌和Mozilla决定在他们的Chrome和Firefox桌面浏览器中消除特殊数字证书的视觉信号,意味着向用户保证他们在合法的网站上降落,而不是恶意杂志。
证书被称为“扩展验证”(EV)证书,是用于加密浏览器到服务器和后退通信的通常证书的子集。与研磨次数证书不同,EVS只能通过SELECT一组证书颁发机构(CAS)颁发;要获取一个,公司必须经过一个复杂的过程,验证其作为网站所有者的法律身份。他们“也更昂贵。
[进一步阅读:10必须有野生动物园扩展]EVS背后的想法是给予网络用户的信心,他们在他们的预期目的地,例如,网站计算机World.com由其法定主人,IDG而不是腥味 - 和phishy - URL所属的“ S弯曲的一路LLC和Chockablock与恶意软件。浏览器迅速采取了概念,奖励具有脸部内视觉提示的EV-Secued网站,特别是在地址栏中域前方的验证的法律标识。身份通常以绿色阴影为额外的提示。(铬在2018年9月驳回了绿色的亚铬69.)
但谷歌和Mozilla声称,EVS不再值得在浏览器中呼唤“地址栏。
“通过我们自己的研究以及对现有学术工作的调查,Chrome安全UX [用户体验]团队已经确定了EV UI [用户界面]不按预期保护用户,”Google在一个在线文档中写道,详细说明为什么它正在从地址栏中擦洗EV证据。“当UI更改或删除时,用户似乎不会进行安全选择(例如未输入密码或信用卡信息),因为EV UI提供有意义的保护是必要的。”
此外,谷歌补充说,法人实体的名称占用了有价值的浏览器房地产。
Mozilla说了周一类似的东西。“在过去几年中,ev的有效性在过去几年中被称为多次,有人怀疑用户是否注意到缺乏积极的安全指标和概念证明,这对博览会的概念进行了点击博览会,”约翰霍夫曼说:“ Firefox工程师,在发布到发展论坛的消息中。
Mozilla.10月,当浏览器遇到扩展验证(EV)证书时,Firefox将停止显示网站后面的法人实体。
Chrome 77,Slated To Separ 9月10日,将从地址栏中删除EV信息,并将其放在页面信息弹出中,通过单击挂锁图标访问。
Firefox将于10月22日遵循套装。“我们打算从身份块中删除扩展验证(EV)指示器(用于显示安全/隐私信息的URL栏的左侧),”Hofmann说。
其他浏览器已经抛弃了ev标志。例如,Apple“S Safari去年通过版本12,使用MacOS 10.14,AKA Mojave包装的产品名称;野生动物园仍然在URL上涂抹一层绿色。微软“全铬”边缘避开了任何EV指标。
由于空间问题,移动浏览器通常在地址栏中没有EV附带,因为它们没有备用。一些 - 在iOS中有一些 - Safari,说 - 后来删除了它。
但是,Opera软件的Opera模仿Firefox的公司名称,即使浏览器在与Chrome的同一引擎上构建。
“EV现在真的,真的死了,”安全专业特洛伊亨特,在8月13日发布到他的个人博客。“关于它的索赔已经彻底揭穿了,并且销售的整个前提即将消失。”
狩猎,注意到创造和维护“我被淘汰了?”网站,首次称为EVS“2018年9月在撰写的时候击败,”他们的用途现在已经从“勉强”到“尽可能不存在”,“也在他的博客上。
“写作一年前可能已经在墙上,但死亡逮捕令现在很好,真正用铬和萤火虫杀死它的石头冷死了,”周二亨特说。