SSLサーバ証明書とは、Webサイトの「運営者の実在性を確認」し、ブラウザとWebサーバ間で「通信データの暗号化」を行うための電子証明書です。
つまり、目的は2つあります。
本日は「運営者の実在性を確認」する目的で使う件の話です。
SSLサーバ証明書には下記3種類が存在します。
・DV(Domain Validation):ドメイン名が存在することの証明書
・OV(Organization Validation):組織が存在することの証明書
・EV(Extended Validation):OVよりも厳密な実在性証明を課す証明書
DV証明書は最近は自動で(早ければ数分で)取得することができ、運営者の実在性確認の観点ではもはや何の価値もない。通信暗号化のためだけのものという感じ。
OV証明書が一般的に広く普及している感じ。証明書の中身に組織(企業名)の名称や住所などが格納されている。
EV証明書はOVよりも厳密な実在性証明(登記簿の提出等が必要らしい)を行い、適用するとブラウザのURLバーが緑色にったり組織名が表示されたりするので、詐欺サイトの見分けに有効とされてきた。
が、最新のブラウザではURLバーの色を変えたり、組織名を非表示にする動きが出ており、ちょっと調べてみた。
(結論から言うとEV SSL証明書はあまり意味が無いということなのだが・・・・)
【EV SSL証明書は効果ない検証の結果】
EV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認(具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます)
【EV SSL証明書搭載の偽サイトができる!?】
米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうらしい。(つまり、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得る)
結論として、EV SSL証明書は、フィッシング対策(=運営者の実在性確認)としての効果は期待できなくなり、今後は暗号化のためだけに使っていく流れになりそうです。
もう5年もしたらEV SSL証明書って言葉自体が死語になっていそうな気がする。。。
【参考リンク】