由于EV签章图标弊大于利,安全博客Troy Hunt首先报导,Google和Mozilla近日双双宣布,下一代浏览器Chrome、Firefox将修改用于证明网页不是钓鱼网站的延伸验证(extended validation,EV)标示系统。
EV为程序代码签章的一种,目的在通过SSL凭证获得权威机构的签章,来证明网站和应用程序的合法性,即不是钓鱼网站或恶意程序。知名凭证发布机构(CA)包括赛门铁克与GoDaddy等。当Chrome、Firefox或Microsoft Edge浏览器访问这些网页时,网址列可看到最左边出现锁头图标及EV实体(EV Entity)名称,显示是经过EV签章的真实网站。
Google Chrome团队本周宣布EV签章UI上的改变。现有Chrome 76仍然在访问使用EV签章的网时显示EV图标,但从9月发布的Chrome 77开始,就不再显示EV实体名称,所有信息整合到“网页信息”中,要点入锁头才会看到,而锁头也将改成绿底白锁。目前Canary版的Chrome 77已经可以看到这项变更。
Google的理由是,公司研究发现这个EV UI对保护用户并没有发挥预期效果,用户往往不会发现UI中实体名称被变更或移除(即,可能已登录钓鱼网站)。此外,EV图标占用了宝贵的屏幕空间、造成用户混淆,并且干扰Chrome以中性(而非肯定句)字眼,来显示网站安全性的政策。
Google Chrome其实从去年5月即宣布,Chrome 69开始不再用“肯定句”将HTTPS网页标示为“安全”,而是把使用HTTP的网页标为“不安全”(not secure)。
Mozilla也宣布,从Firefox 70开始将移除EV指示系统,取而代之的是加入EV信息栏,借此减少用户看到的EV信息,同时也在视觉上更为清楚。
事实上,苹果iOS和MojavePC机版Safari网址列早已不显示EV实体名称,而改显示域名名称。微软Edge也是一样。
安全专家Troy Hunt指出,Chrome和Firefox的宣布等于声明EV已经死透。目前唯一还支持EV系统的只剩卖凭证的厂商,以及还信奉“肯定句”标示系统的人而已。