由於EV簽章圖示弊大於利,安全部落格Troy Hunt 首先報導,Google和Mozilla近日雙雙宣布,下一代瀏覽器Chrome、Firefox將修改用於證明網頁不是釣魚網站的延伸驗證(extended validation,EV)標示系統。
EV為程式碼簽章的一種,目的在透過SSL憑證獲得權威機構的簽章,來證明網站和應用程式的合法性,即不是釣魚網站或惡意程式。知名憑證發放機構(CA)包括賽門鐵克與GoDaddy等。當Chrome、Firefox或Microsoft Edge瀏覽器造訪這些網頁時,網址列可看到最左邊出現鎖頭圖示及EV實體(EV Entity)名稱,顯示是經過EV簽章的真實網站。
Google Chrome團隊本周宣布EV簽章UI上的改變。現有Chrome 76仍然在造訪使用EV簽章的網時顯示EV圖示,但從9月釋出的Chrome 77開始,就不再顯示EV實體名稱,所有資訊合併到「網頁資訊」中,要點入鎖頭才會看到,而鎖頭也將改成綠底白鎖。目前Canary版的Chrome 77已經可以看到這項變更。
Google的理由是,公司研究發現這個EV UI對保護使用者並沒有發揮預期效果,用戶往往不會察覺UI中實體名稱被變更或移除(即,可能已登入釣魚網站)。此外,EV圖示占用了寶貴的螢幕空間、造成使用者混淆,並且干擾Chrome以中性(而非肯定句)字眼,來顯示網站安全性的政策。
Google Chrome其實從去年5月即宣布,Chrome 69開始不再用「肯定句」將HTTPS網頁標示為「安全」,而是把使用HTTP的網頁標為「不安全」(not secure)。
Mozilla也宣布,從Firefox 70開始將移除EV指示系統,取而代之的是加入EV資訊欄,藉此減少用戶看到的EV資訊,同時也在視覺上更為清楚。
事實上,蘋果iOS和Mojave桌機版Safari網址列早已不顯示EV實體名稱,而改顯示網域名稱。微軟Edge也是一樣。
安全專家Troy Hunt指出,Chrome和Firefox的宣佈等於宣告EV已經死透。目前唯一還支持EV系統的只剩賣憑證的廠商,以及還信奉「肯定句」標示系統的人而已。
(相關資訊來自iThome)
