¿Se puede mostrar de forma confiable el estado HTTPS en el navegador (no solo el bloqueo en la barra de URL)?

No, esto no es posible. Todo lo que se muestra en una página web se puede manipular fácilmente, utilizando elementos como Javascript y, por lo tanto, no se puede confiar.

El candado en el navegador es la única indicación confiable de que HTTPS está funcionando en una página.

Bueno, puede hacer que una página web muestre un mensaje atractivo que diga que "sí, esta página es segura, todo está bien", pero no puede evitar que una página web falsa muestre el Exactamente lo mismo, hasta el último píxel. Si los jueces usaran, como único testigo, el criminal, las cárceles estarían vacías ...

La barra de URL y el icono del candado están bajo el control del navegador , no de la página, y se supone que son inmunes a la manipulación desde la página (al menos, el nombre del servidor en la barra de URL se supone que es inmune a la manipulación).

(Mi banco, cuando me conecto a su sitio web, genera una buena ventana emergente con un gran candado. Esto es puramente cosmético; no agrega nada a la seguridad, porque una página bancaria falsa generaría la misma ventana emergente. De hecho, me siento ligeramente insultado por esa ventana emergente.)

Su página web podría mostrar una buena flecha grande que apunta hacia donde debería estar el candado en el navegador, y recordarles que debería estar en verde, y que el sitio web debería ser domain.com (o algo más apropiado como un icono de signo de interrogación en algún lugar). de buen gusto que explica dónde deben ver el candado en el navegador, etc.)

Lo único en lo que puedo pensar es en un complemento de navegador firmado que se instalen como un complemento que posiblemente pueda mostrar algo de una manera que un sitio web no pueda, pero probablemente sea demasiado elaborado. Cualquier cosa en la página en sí podría ser falsificada e incluso intentar hacerlo puede reducir la seguridad, ya que capacitará a las personas para que busquen pruebas de seguridad en otro lugar que no sea el lugar universalmente correcto para hacerlo dentro de su navegador. (Ya que pueden ver su indicador y no molestarse en comprobar el icono de bloqueo).

Si desea asegurarse de que solo se conectarán a su sitio legítimo, es posible que desee considerar la autenticación de dos factores o la autenticación mutua basada en certificados. Si no funciona, no es legítimo.

Además, tenga en cuenta que puede haber una diferencia entre una conexión segura y una conexión al host correcto. Puede hacer que un atacante realice un sitio falso que se ejecute en HTTPS (aunque es poco probable), que sea seguro, pero no legítimo.

Hay muchas compañías que ofrecen "sellos de seguridad", pero como se señaló en otras respuestas, estas pueden ser falsas. Algunos de ellos se comunicarán con un proveedor, pero el usuario tenía que saber que el tercero también es confiable. Es un buen truco, pero en realidad no proporciona seguridad adicional en una situación en la que no tiene una base de confianza. También hay cosas como Web Of Trust, donde puedes ver las calificaciones de otras personas, pero nuevamente debes confiar en ellas.

Sin embargo, como una nota al margen interesante, la investigación ha demostrado que las personas realmente no tienen ningún concepto de la página en comparación con el navegador Chrome. La mayoría de los usuarios no es más probable que confíen en el bloqueo en Chrome, en lugar de una buena imagen en la página del navegador. Los usuarios finales generales no se preocupan por la seguridad o no saben. Incluso si miran los detalles del certificado, no saben qué hacer con ellos. Si coloca instrucciones en la página para verificar, nuevamente, un atacante podría fingir lo mismo, diciendo "ignorar el hecho de que el nombre no coincide con el nuestro, es porque son nuestro agente registrado".

Whalen, T. y Inkpen, K. M. (2005). Recopilación de evidencia: uso de claves de seguridad visual en navegadores web. En Proceedings of Graphics Interface 2005, GI ’05, páginas 137–144, Escuela de Informática, Universidad de Waterloo, Waterloo, Ontario, Canadá. Sociedad Canadiense de Comunicaciones Humano-Computadoras.

Sunshine, J., Egelman, S., Almuhimedi, H., Atri, N. y Cranor, L. F. (2009). Lobo llorón: un estudio empírico de la efectividad de la advertencia SSL. En las actas de la 18ª conferencia sobre el simposio de seguridad de USENIX, SSYM'09, páginas 399–416, Berkeley, CA, EE. UU. Asociación USENIX.

Otro ejemplo sería poner un mensaje en su sitio para que una descarga le indique a los usuarios que ignoren las advertencias de seguridad sobre el código sin firmar, etc. y que continúen con la instalación de todos modos.

Probablemente no sea la respuesta que está buscando, pero podría considerar un certificado de validación extendido. Hace una diferencia visual obvia cuando se conecta a través de SSL, aunque la representación visual varía según los navegadores.

Por ejemplo:

Si es importante para usted que los usuarios accedan siempre a su sitio a través de HTTPS, comience a configurar los encabezados Strict Transport Security y luego < a href="https://hstspreload.appspot.com/"> enviar para codificación en navegadores .

Aunque no es perfecto, es AFAIK la medida más fuerte de técnica (en comparación con la educativa) que puedes tomar.

(Junto con la mitigación de riesgos como el secuestro de cookies si un usuario visita HTTP)