強化されたSSL

(1/1)
インターネットで買い物をする際、ブラウザに表示される錠マークの有無で、SSL(secure sockets layer)が使われているかどうかを確認することができます。ところが近年、SSL で使われるサーバー証明書の信頼性が低下しています。

SSL証明書の限界

認証局が SSL サーバー証明書を発行するときは、利用者を審査したうえで発行します。ところが、その審査内容は認証局によってまちまちです。そのため、審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増えているのです。
SSL を使っているから安心と考えていたら、実はその Web サイトがフィッシング・サイトだったということが起こっています。(フィッシング詐欺に引っかからないために

EV SSL証明書の登場

危機感を抱いた電子認証事業各社は、2005 年(平成 17 年)から新たな SSL の策定に入りました。これが「EV SSL証明書(Extended Validation)」です。
EV SSL証明書は、ドメイン名の所有権の確認だけでなく、申請責任者の権限の認証、政府または第三者機関における組織の実在性の検証などを定めたGuidelines For Extended Validation Certificatesをパスした者のみが取得することができます。

EV SSL証明書の識別

EV SSL証明書
EV SSL証明書を識別するには、対応するブラウザが必要です。2008 年(平成 20 年)10 月現在、対応しているブラウザは次の通り。


IE7 で EV SSL証明書を提示しているサイトにアクセスすると、上図のようにアドレスバーが緑色になります。また、証明書の利用組織名と認証局名が交互に表示され、どんな組織がどの認証局の審査を受けた証明書なのかが一目でわかるようになっています。
EV SSL証明書
Safari の場合は、上図のようにウィンドウの右上に証明書の利用組織名が表示されます。

EV SSLは善管注意義務が前提

EV SSL は、運用者による善管注意義務を前提としており、リテラシーが低い運用者においては本来の信頼性を発揮できない場合があります。

2017 年(平成 29 年)4 月、東京都が都税クレジットカードお支払サイトの運営者がトヨタファイナンス株式会社であることを掲示する事態が起きました。
これでは、東京都の EV SSL サーバ証明書の中でトヨタファイナンス株式会社が営業していることになってしまい、EV SSL の信頼性を担保できません。
その後、ホームページの内容が改められました。

2018 年(平成 30 年)5 月、八千代銀行、東京都民銀行、新銀行東京の 3行が合併し、きらぼし銀行が誕生しました。ところが、合併直後の EV SSL サーバ証明書の表示が、八千代銀行のものになっていました。
EV SSL サーバ証明書の発行には、登記簿謄本など、合併後のタイミングでないと確認できない資料があるため、このような事態になったと推測されます。現在では、EV SSL サーバ証明書はきらぼし銀行の所有に改められています。
しかし、ユーザー側から見れば、サーバ証明書と実在の組織の異なっていたという事実があり、EV SSL の信頼性を揺るがしかねません。

参考サイト

(この項おわり)
header