EV SSL証明書の価値って・・・


SSLサーバ証明書とは、Webサイトの「運営者の実在性を確認」し、ブラウザとWebサーバ間で「通信データの暗号化」を行うための電子証明書です。

つまり、目的は2つあります。

本日は「運営者の実在性を確認」する目的で使う件の話です。

SSLサーバ証明書には下記3種類が存在します。

DV(Domain Validation):ドメイン名が存在することの証明書

・OV(Organization Validation):組織が存在することの証明書 

・EV(Extended Validation):OVよりも厳密な実在性証明を課す証明書

DV証明書は最近は自動で(早ければ数分で)取得することができ、運営者の実在性確認の観点ではもはや何の価値もない。通信暗号化のためだけのものという感じ。

OV証明書が一般的に広く普及している感じ。証明書の中身に組織(企業名)の名称や住所などが格納されている。

EV証明書はOVよりも厳密な実在性証明(登記簿の提出等が必要らしい)を行い、適用するとブラウザのURLバーが緑色にったり組織名が表示されたりするので、詐欺サイトの見分けに有効とされてきた。

が、最新のブラウザではURLバーの色を変えたり、組織名を非表示にする動きが出ており、ちょっと調べてみた。

(結論から言うとEV SSL証明書はあまり意味が無いということなのだが・・・・)


EV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認(具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます)

【EV SSL証明書搭載の偽サイトができる!?】

米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうらしい。(つまり、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得る)


結論として、EV SSL証明書は、フィッシング対策(=運営者の実在性確認)としての効果は期待できなくなり、今後は暗号化のためだけに使っていく流れになりそうです。

もう5年もしたらEV SSL証明書って言葉自体が死語になっていそうな気がする。。。

【参考リンク】