效果不大，Chrome、Firefox将缩减EV签章标示

由于EV签章图示弊大于利，安全部落格Troy Hunt 首先报导，Google和Mozilla近日双双宣布，下一代浏览器Chrome、Firefox将修改用于证明网页不是钓鱼网站的延伸验证（extended validation，EV）标示系统。

EV为程式码签章的一种，目的在透过SSL凭证获得权威机构的签章，来证明网站和应用程序的合法性，即不是钓鱼网站或恶意程式。知名凭证发放机构（CA）包括赛门铁克与GoDaddy等。当Chrome、Firefox或Microsoft Edge浏览器造访这些网页时，网址列可看到最左边出现锁头图示及EV实体（EV Entity）名称，显示是经过EV签章的真实网站。

Google Chrome团队本周宣布EV签章UI上的改变。现有Chrome 76仍然在造访使用EV签章的网时显示EV图示，但从9月释出的Chrome 77开始，就不再显示EV实体名称，所有资讯合并到“网页资讯”中，要点入锁头才会看到，而锁头也将改成绿底白锁。目前Canary版的Chrome 77已经可以看到这项变更。

Google的理由是，公司研究发现这个EV UI对保护使用者并没有发挥预期效果，用户往往不会察觉UI中实体名称被变更或移除（即，可能已登入钓鱼网站）。此外，EV图示占用了宝贵的屏幕空间、造成使用者混淆，并且干扰Chrome以中性（而非肯定句）字眼，来显示网站安全性的政策。

Google Chrome其实从去年5月即宣布，Chrome 69开始不再用“肯定句”将HTTPS网页标示为“安全”，而是把使用HTTP的网页标为“不安全”（not secure）。

Mozilla也宣布，从Firefox 70开始将移除EV指示系统，取而代之的是加入EV资讯栏，借此减少用户看到的EV资讯，同时也在视觉上更为清楚。

事实上，苹果iOS和Mojave桌机版Safari网址列早已不显示EV实体名称，而改显示网域名称。微软Edge也是一样。

安全专家Troy Hunt指出，Chrome和Firefox的宣布等于宣告EV已经死透。目前唯一还支持EV系统的只剩卖凭证的厂商，以及还信奉“肯定句”标示系统的人而已。