行业资讯

网络安全资讯、SSL证书资讯、SSL行业资讯

您现在所在的位置首页 > 行业资讯 > 谷歌重设SSL警告 植入新版Chrome浏览器

谷歌重设SSL警告 植入新版Chrome浏览器

 

谷歌浏览器对所有不安全的网址访问都会进行风险提示,但是很多用户看不懂基于浏览器的SSL警告,更加别说按警告进行访问操作。谷歌想改变这一现状,花费数年时间针对人类对警告信号的反应进行跨学科研究,并基于此研发了其最新型浏览器SSL警告。

调查显示,SSL警告的有效性几乎与安全无关。事实上,SSL警告需要简单易读倒是愈加确认了——无论是从理解方面,还是从选项设计方面,另外还要提供清晰的操作指南。换句话说,SSL警告需要简单化。

《宾夕法尼亚大学和谷歌的联合研究报告》指出,很多站点都依靠SSL证书帮助保证他们的网上通信是保密的。SSL证书保护他们的电子邮件、推特和银行对账单在传输过程中免遭窃听或篡改[沃通CA推出了免费的SSL证书供大家对网站进行数据加密]。研究报告综合了之前试图以三个认知分类的结合打造完美SSL警告的研究结果。这三个认知分类分别是用户对威胁源、受威胁的数据和误报概率的认知。这项新研究表明:即使采用前项研究确立的最佳方案,用户遵循警告的情况也无甚改变。通过研究谷歌已经注意到一份行之有效的SSL警告的某些关键组成部分,并将其集成到了最新版本的Chrome浏览器中。

至今为止,大多数SSL警告看起来像是安全专家做给安全专家看的一样。对外行用户而言,Chrome36和IE11的SSL警告几乎全无意义:

·“……服务器提供的证书是由不被您的操作系统信任的实体颁发的。”

·“此网站提供的安全证书不是由受信任的认证机构颁发的。”

火狐浏览器的警告比谷歌或微软的表现稍好。谷歌认为这是因为Mozilla一直在逐版本移除其SSL警告中的技术术语。

理想状况下,谷歌称,一份行之有效的SSL浏览器警告应该使用户能够做出明智的决定,至少,要能引导用户避开有潜在危险的网站,回到安全状态。谷歌表示有大约66%的Chrome用户无视SSL警告。最终,谷歌决定开发用户易于理解且愿意遵守的警告。用谷歌自己的话讲,它要增加警告理解度和遵循度。

谷歌相信,“固执设计”概念,或者说用视觉图案提示推动建议行为的被选中率,是最好的改进警告理解率和遵循度的办法。

因此,最新版本Chrome浏览器里的警告将会简单地在灰色背景上用红色字体显示“您的连接不是私有的”,旁边还会有把刻了个大‘X’的红色锁头图案;而不是继续像以前一样用一堆复杂难懂的安全术语搅晕用户的脑袋。当然,在主要警告之下,谷歌还会附上简要解释,形如:“攻击者可能正尝试从某些网站偷取您的信息(如:密码、消息,或信用卡)。”如果你访问的链接是经过合法CA机构(如沃通CA)颁发的SSL证书加密的,浏览器则会显示绿色安全小锁提醒链接安全并可放心访问。

除了警告,用户还被鼓励点击那个大大的蓝色按钮,它将使用户“重回安全”。只要用户愿意,也可以点击那个不太醒目的“高级”链接去看看更具技术细节的问题描述,然后跟随另一个链接无视警告而继续访问站点。这自选的第二步及其带来的麻烦,谷歌称,又吓退了2%~15%的用户。

谷歌称,“对警告的遵从度因此而从37%上升到62%,意味着每月新增数百万用户由于我们的警告设计改变而选择进行安全的操作。”

谷歌在去年针对基于浏览器的恶意软件警告采取了类似措施。先进行了一项用心理学构建更好的浏览器警告的研究,然后以研究结果为依据在其Chrome浏览器里实现新型恶意软件警告。