Chrome 77 beschikbaar: verbergt uitgebreide validatie SSL-certificaat

Google heeft een nieuwe versie van Chrome gelost voor Windows, Mac, Linux, Android en iOS. Chrome 77 bevat vooral een aantal nuttige verbeteringen voor ontwikkelaars, maar brengt ook een paar visuele aanpassingen en nieuwe tools voor IT-beheerders met zich mee.

Zo neemt Google afscheid van de indicator bij websites die een EV-certificaat gebruiken voor hun beveiligde HTTPS-verbinding. Dergelijke certificaten herken je doorgaans doordat het SSL-slotje in de adresbalk vergezeld wordt door de naam van de eigenaar van het certificaat.

Ook in Chrome was dat tot en met versie 76 het geval. Vanaf Chrome 77 wordt enkel nog een slotje getoond. Je kan wel nog steeds de eigenaar van het certificaat terugvinden door erop te klikken. Volgens Google leverde de EV-indicator niet het gewenste effect.

 

EV certificaat - Chrome 76
Chrome 76
EV-certificaat - Chrome 77
Chrome 77

“Gebruikers lijken geen veilige keuzes te maken (zoals het niet invoeren van wachtwoord- of creditcardgegevens) wanneer de gebruikersinterface wordt gewijzigd of verwijderd, wat nodig zou zijn voor EV-UI om een zinvolle bescherming te bieden”, zegt Devon O’Brien van het Chrome Security-team.

Daarnaast bezet de EV-indicator veel ruimte van de adresbalk en kan hij voor verwarring zorgen wanneer de eigenaar van het certificaat bijvoorbeeld een minder bekend moederbedrijf is. Bovendien past het niet binnen Googles recent aangenomen productstrategie om veilige verbindingen als norm en neutraal aan te duiden, in plaats van uitzonderlijk en positief te behandelen.

Voor IT-beheerders

Chrome 77 bevat ook een aantal nieuwigheden voor IT-beheerders in bedrijven. Zo werd site-isolatie verbeterd om data die zich tussen websites kan verplaatsen, zoals cookies en HTTP-resources, beter te beschermen. Site-isolatie is voortaan ook geactiveerd op sommige Android-toestellen voor websites waar gebruikers wachtwoorden ingeven.

IT-beheerders kunnen voortaan ook de url definiëren van een XML-bestand dat noot een browserwissel zal activeren met behulp van het beleid BrowserSwitcherExternalGreylistUrl. Via chrome://browser-switch/internals kan een beheerder controleren dat de correcte Legacy Browser Support (LBS)-regels worden gevolgd.

De nieuwe versie laat je ook toe om standaard een gastsessie te lanceren met behulp van de command line flag -guest of via het beleid BrowserGuestModeEnforced. Tijdens een gastsessie wordt de browseractiviteit niet naar de schijf weggeschreven en niet bewaard tussen sessies.

Eerder schreven we al dat Chrome 77 een nieuw welkomstscherm introduceert wanneer je de browser na installatie voor het eerst opent. Beheerders kunnen deze vernieuwde flow uitschakelen via het beleid PromotionalTabsEnabled.

En verder

Google sleutelt daarnaast aan een donkere modus die niet alleen de UI-elementen van de browser verduistert, maar ook de inhoud van webpagina’s. In Chrome 76 werd de CSS-query ‘prefers-color-scheme’ toegevoegd, waarmee sites een eigen donker thema kunnen introduceren. Gebruikers kunnen evenwel ook zelf een donkere modus forceren via de Chrome-flag #enable-android-web-contents-dark-mode.

Vanaf Chrome 77 kunnen web-apps toegang krijgen tot de contactenlijst van een gebruiker, wat nuttig kan zijn voor bijvoorbeeld webgebaseerde VoIP-apps. Voorlopig kunnen slechts een handvol door Google goedgekeurde websites met de api aan de slag. Bovendien kan een website via de api alleen toegang krijgen tot contacten die jij expliciet goedkeurt.

De rest van de nieuwigheden zit voornamelijk onder de motorkap en omvat onder meer verbeterde tools voor ontwikkelaars om websiteprestaties te meten. Eén daarvan is Largest Contentful Paint, waarmee je beter kan inschatten hoe snel de belangrijkste inhoud van een pagina laadt.

Gerelateerd: Google Chrome biedt voortaan DNS-over-HTTPS, Firefox maakt het standaard