摘要
Google Chrome 和 Mozilla Firefox 开发商均已表示,他们会在即将到来的更新中废弃扩展验证(Extended Validation)证书。谷歌表示,从 9 月发布的 Chrome 77 版本开始,使用该证书的网站将不再在地址栏中显示其所有者的名称。至于 Mozilla,也会在 10 月发布的桌面版 Firefox 70 中引入同样的变化。
Mozilla 和 Google 都会将 EV 证书信息挪动到挂锁图标的后方,用户可点击该图标以查看证书信息。Mozilla 表示,本次调整旨在减少 EV 信息的曝光,同时保证其易于获取。
据悉,EV 证书已经存在十多年。在大多数人使用非移动设备上网时,该证书有助于增强用户网购时的信心。
证书提供商可向启用了 HTTPS 安全连接的网银或电商网站收取一定的证书费用,以拓展使用 —— 比如在网络浏览器的地址栏中显示绿色的方块来点缀其地址和企业名称。
其设想是让用户轻松辨明网站的所有者,让网络钓鱼变得更加困难。但正如安全研究员 Troy Hunt 去年所指出的那样,当今十大网站都已经放弃了 EV 证书。
Google 解释称:Chrome 77 中针对 EV 证书图标显示的新措施,是 Chrome 安全管理系统用户团队综合多方面的考虑而作出的调整,因其已无法像预期那样对用户提供保护。
当用户界面被更改或删除时,用户似乎没有做出安全的选择(例如不输入密码或信用卡信息),这对于EV UI提供有意义的保护是必要的。
Chrome 最终将移除 HTTPS 网站的挂锁图标,且已开始强调所有 HTTP 网站的红色“不安全”警告。至于 Mozilla,它也将在 Firefox 77 中作出跟进。
Google 进一步指出,EV 徽章占据了宝贵了屏幕空间、在用户界面中呈现令人困惑的企业名称、偏离了 Chrome 的产品设计理念。
另一方面,当前智能手机上的 Web 交互已经占比更多,而移动浏览器通常不会显示 EV 徽标。此外去年,苹果已在 iOS 12 和 macOS 10.14 的 Safari 浏览器中移除了 EV 证书的企业名称。