EV証明書
読み:イーヴィー-しょうめいしょ
外語:Extended Validation Certificate
SSL証明書
の信頼性がなくなったため、新たに作られたSSL/TLSの証明書。「EV SSL証明書」とも。
目次
概要
特徴
SSL→EV SSL
厳格化
表示
EV証明書にして良い例悪い例
概要
SSL/TLS
で使われる証明書とは、
公開鍵暗号方式
で用いる
Webサイト
側の
公開鍵
を「信頼できる機関」が
電子署名
したものであった。
しかし誰でも自称「信頼できる機関」になることが出来た。
特徴
SSL→EV SSL
例えばVeriSignの場合、認証局にClass 1、Class 2、Class 3という区分を設けた。
Class 3は企業の実在性を確認する厳密なものだったが、Class 1はそのような確認をせず、個人でも取得できた。Class 1は、
S/MIME
メール用として発行されたものである。
後に、Class 1相当の認証局が続々と現われたが、WebブラウザーはどのClassかを区別する機構を持ってはいなかった。
こうして、「正規の」SSL証明書を使った本物そっくりのフィッシングサイトが無数に作られるに至り、SSLそのものの信頼性は地に落ちた。そこで、審査基準を厳密にしたEV証明書が登場した。
厳格化
米国CA Browser Forumにより策定された審査手順により、EV証明書を発行できる信頼できる機関を定義する。
これは、VeriSignのClass 3相当の基準を厳格化し、業界で統一化したものとも言える。
厳格ではあるが、そもそも「信頼できる機関」なるものを、どのように定義すれば良いのかは定かでないのが現実である。証明書取得には「実在」が最低条件だが、実在さえすれば大抵の企業は取得できる。その「企業自体の信頼性」等は一切考慮していない。
つまり、信頼するかどうか判断するのは、従来と同様に利用者自身である。
表示
EV証明書が導入されたWebサイトを表示した場合、EV SSL対応の
Webブラウザー
はアドレスバーが緑色に変化し、同時に「サイトの運営者名」が表示される。これは、どのような対応Webブラウザーでも同様で、色は緑で統一されている。
もし信頼性が疑問なSSL証明書を使ったWebサイトだった場合、この表示は緑色以外になる。表示色はWebブラウザー依存であるが、
黄色
や
赤色
などの警告色で表示されることが多いようである。
なお、EV証明書対応ブラウザーで、従来のSSL証明書のWebサイトを表示させると、「このサイトの運営者: (運営者は不明です)」などと表示される。
EV証明書にして良い例悪い例
運営者名不明と表示されるのを嫌い、EV証明書に移行するサイトは増えていくと見られるが、全部が全部EV証明書である必要は、現実にはない。
単に暗号化のみを目的とする事例はあり、その場合ではSSL証明書でも十分な機能は果たす。
ブログ
や
SNS
などのログイン画面は、それほど重大なものでもないと考えられるため、通常のSSL証明書でも十分である。
また仕様上、EV証明書では運営者名が表示される。このため、ブログのように不特定多数が内容を書き換えられるものに対し、httpsでサービスを提供してはいけない。ログイン画面は良いが、実際のブログ画面をhttpsにしてはいけない。
単なるユーザーコンテンツをhttpsで提供し、EV証明書で運用されるようなことは、それ自体が脆弱性である。
再検索