強化されたSSL――EV SSL証明書

インターネットで買い物をする際、ブラウザに表示される錠マークの有無で、SSL（secure sockets layer）が使われているかどうかを確認することができます。ところが近年、SSLで使われるサーバー証明書の信頼性が低下しています。
そこで、2007年（平成19年）頃から利用組織名を表示する EV SSL証明書が登場し、対応サイトにアクセスするとブラウザのURLが緑色になるように変わりました。
しかし、組織名は信頼指標にならないことから、2019年（平成31年）、ChromeではSSLと変わらない表示に戻されています。

SSL証明書の限界

認証局がSSLサーバー証明書を発行するときは、利用者を審査したうえで発行します。ところが、その審査内容は認証局によってまちまちです。そのため、審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増えているのです。
SSLを使っているから安心と考えていたら、実はそのWebサイトがフィッシング・サイトだったということが起こっています。（フィッシング詐欺に引っかからないために）

EV SSL証明書の登場

危機感を抱いた電子認証事業各社は、2005年（平成17年）から新たなSSLの策定に入りました。これが「EV SSL証明書（Extended Validation）」です。
EV SSL証明書は、ドメイン名の所有権の確認だけでなく、申請責任者の権限の認証、政府または第三者機関における組織の実在性の検証などを定めたGuidelines For Extended Validation Certificatesをパスした者のみが取得することができます。

EV SSL証明書の識別

EV SSL証明書を識別するには、対応するブラウザが必要です。2008年（平成20年）10月現在、対応しているブラウザは次の通り。

Internet Explorer7（IE7）以降
FireFox 3.0 以降
Opera 9.5 以降
Safari 3.2 以降

IE7で EV SSL証明書を提示しているサイトにアクセスすると、上図のようにアドレスバーが緑色になります。また、証明書の利用組織名と認証局名が交互に表示され、どんな組織がどの認証局の審査を受けた証明書なのかが一目でわかるようになっています。

Safariの場合は、上図のようにウィンドウの右上に証明書の利用組織名が表示されます。

Edgeでは、上図のようにURLの左側に証明書の利用組織名が表示されます。

EV SSLは善管注意義務が前提

EV SSL は、運用者による善管注意義務を前提としており、リテラシーが低い運用者においては本来の信頼性を発揮できない場合があります。

2017年（平成29年）4月、東京都が都税クレジットカードお支払サイトの運営者がトヨタファイナンス株式会社であることを掲示する事態が起きました。

EV SSLが「東京都」になってるし。トヨタファイナンス株式会社の運営サイトに「東京都」のEV SSLを使わせちゃうの。どんだけ東京都は都の信用を民間に売り渡しちゃうの？都民に断りなくそういうことして許されると思ってるの？

で、「公式」って何？ pic.twitter.com/EAbQ7zJbPw
— Hiromitsu Takagi (@HiromitsuTakagi) April 24, 2017

これでは、東京都の EV SSL サーバ証明書の中でトヨタファイナンス株式会社が営業していることになってしまい、EV SSL の信頼性を担保できません。
その後、ホームページの内容が改められました。

2018年（平成30年）5月、八千代銀行、東京都民銀行、新銀行東京の3行が合併し、きらぼし銀行が誕生しました。ところが、合併直後の EV SSL サーバ証明書の表示が、八千代銀行のものになっていました。

おい、きらぼし銀行のSSL証明書が… 金融機関としてどうなんだそれ pic.twitter.com/w9bYq530ld
— たかはしし (@0tkhss) May 1, 2018

EV SSL サーバ証明書の発行には、登記簿謄本など、合併後のタイミングでないと確認できない資料があるため、このような事態になったと推測されます。現在では、EV SSL サーバ証明書はきらぼし銀行の所有に改められています。
しかし、ユーザー側から見れば、サーバ証明書と実在の組織の異なっていたという事実があり、EV SSL の信頼性を揺るがしかねません。