EV証明書

例えばVeriSignの場合、認証局にClass 1、Class 2、Class 3という区分を設けた。

Class 3は企業の実在性を確認する厳密なものだったが、Class 1はそのような確認をせず、個人でも取得できた。Class 1は、S/MIMEメール用として発行されたものである。

後に、Class 1相当の認証局が続々と現われたが、WebブラウザーはどのClassかを区別する機構を持ってはいなかった。

こうして、「正規の」SSL証明書を使った本物そっくりのフィッシングサイトが無数に作られるに至り、SSLそのものの信頼性は地に落ちた。そこで、審査基準を厳密にしたEV証明書が登場した。

米国CA Browser Forumにより策定された審査手順により、EV証明書を発行できる信頼できる機関を定義する。

これは、VeriSignのClass 3相当の基準を厳格化し、業界で統一化したものとも言える。

厳格ではあるが、そもそも「信頼できる機関」なるものを、どのように定義すれば良いのかは定かでないのが現実である。証明書取得には「実在」が最低条件だが、実在さえすれば大抵の企業は取得できる。その「企業自体の信頼性」等は一切考慮していない。

つまり、信頼するかどうか判断するのは、従来と同様に利用者自身である。

EV証明書が導入されたWebサイトを表示した場合、EV SSL対応のWebブラウザーはアドレスバーが緑色に変化し、同時に「サイトの運営者名」が表示される。これは、どのような対応Webブラウザーでも同様で、色は緑で統一されている。

もし信頼性が疑問なSSL証明書を使ったWebサイトだった場合、この表示は緑色以外になる。表示色はWebブラウザー依存であるが、黄色や赤色などの警告色で表示されることが多いようである。

なお、EV証明書対応ブラウザーで、従来のSSL証明書のWebサイトを表示させると、「このサイトの運営者: (運営者は不明です)」などと表示される。

運営者名不明と表示されるのを嫌い、EV証明書に移行するサイトは増えていくと見られるが、全部が全部EV証明書である必要は、現実にはない。

単に暗号化のみを目的とする事例はあり、その場合ではSSL証明書でも十分な機能は果たす。ブログやSNSなどのログイン画面は、それほど重大なものでもないと考えられるため、通常のSSL証明書でも十分である。

また仕様上、EV証明書では運営者名が表示される。このため、ブログのように不特定多数が内容を書き換えられるものに対し、httpsでサービスを提供してはいけない。ログイン画面は良いが、実際のブログ画面をhttpsにしてはいけない。

単なるユーザーコンテンツをhttpsで提供し、EV証明書で運用されるようなことは、それ自体が脆弱性である。