SSL証明書の限界
認証局がSSLサーバー証明書を発行するときは、利用者を審査したうえで発行します。ところが、その審査内容は認証局によってまちまちです。そのため、審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増えているのです。
SSLを使っているから安心と考えていたら、実はそのWebサイトがフィッシング・サイトだったということが起こっています。(フィッシング詐欺に引っかからないために)
SSLを使っているから安心と考えていたら、実はそのWebサイトがフィッシング・サイトだったということが起こっています。(フィッシング詐欺に引っかからないために)
EV SSL証明書の登場
危機感を抱いた電子認証事業各社は、2005年(平成17年)から新たなSSLの策定に入りました。これが「EV SSL証明書(Extended Validation)」です。
EV SSL証明書は、ドメイン名の所有権の確認だけでなく、申請責任者の権限の認証、政府または第三者機関における組織の実在性の検証などを定めたGuidelines For Extended Validation Certificatesをパスした者のみが取得することができます。
EV SSL証明書は、ドメイン名の所有権の確認だけでなく、申請責任者の権限の認証、政府または第三者機関における組織の実在性の検証などを定めたGuidelines For Extended Validation Certificatesをパスした者のみが取得することができます。
EV SSL証明書の識別
EV SSL証明書を識別するには、対応するブラウザが必要です。2008年(平成20年)10月現在、対応しているブラウザは次の通り。
- Internet Explorer7(IE7)以降
- FireFox 3.0 以降
- Opera 9.5 以降
- Safari 3.2 以降
IE7で EV SSL証明書 を提示しているサイトにアクセスすると、上図のようにアドレスバーが緑色になります。また、証明書の利用組織名と認証局名が交互に表示され、どんな組織がどの認証局の審査を受けた証明書なのかが一目でわかるようになっています。
Safariの場合は、上図のようにウィンドウの右上に証明書の利用組織名が表示されます。
Edgeでは、上図のようにURLの左側に証明書の利用組織名が表示されます。
EV SSLは善管注意義務が前提
EV SSL は、運用者による善管注意義務を前提としており、リテラシーが低い運用者においては本来の信頼性を発揮できない場合があります。
2017年(平成29年)4月、東京都が都税クレジットカードお支払サイトの運営者がトヨタファイナンス株式会社であることを掲示する事態が起きました。
2017年(平成29年)4月、東京都が都税クレジットカードお支払サイトの運営者がトヨタファイナンス株式会社であることを掲示する事態が起きました。
EV SSLが「東京都」になってるし。トヨタファイナンス株式会社の運営サイトに「東京都」のEV SSLを使わせちゃうの。どんだけ東京都は都の信用を民間に売り渡しちゃうの? 都民に断りなくそういうことして許されると思ってるの?
— Hiromitsu Takagi (@HiromitsuTakagi) 2017年4月24日
で、「公式」って何? pic.twitter.com/EAbQ7zJbPw
これでは、東京都の EV SSL サーバ証明書の中でトヨタファイナンス株式会社が営業していることになってしまい、EV SSL の信頼性を担保できません。
その後、ホームページの内容が改められました。
2018年(平成30年)5月、八千代銀行、東京都民銀行、新銀行東京の3行が合併し、きらぼし銀行が誕生しました。ところが、合併直後の EV SSL サーバ証明書の表示が、八千代銀行のものになっていました。
その後、ホームページの内容が改められました。
2018年(平成30年)5月、八千代銀行、東京都民銀行、新銀行東京の3行が合併し、きらぼし銀行が誕生しました。ところが、合併直後の EV SSL サーバ証明書の表示が、八千代銀行のものになっていました。
EV SSL サーバ証明書の発行には、登記簿謄本など、合併後のタイミングでないと確認できない資料があるため、このような事態になったと推測されます。現在では、EV SSL サーバ証明書はきらぼし銀行の所有に改められています。
しかし、ユーザー側から見れば、サーバ証明書と実在の組織の異なっていたという事実があり、EV SSL の信頼性を揺るがしかねません。
しかし、ユーザー側から見れば、サーバ証明書と実在の組織の異なっていたという事実があり、EV SSL の信頼性を揺るがしかねません。
組織名は信頼指標にならない
このような経緯があり、EV SSL の組織名は信頼指標にならないことから、2019年(平成31年)現在、Google Chrome は、アドレスバーをSSLと同じ鍵マークに戻し、組織名を表示していない。鍵マークをクリックしたときに、はじめて組織名が表示される。
参考サイト
- Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ:スラド 2019年8月13日
- 5分で絶対に分かるEV SSL:@IT
- EV-SSL証明書:ITmedia
- 5分で絶対に分かる:5分で絶対に分かるEV SSL証明書:@IT
- 正規サイトにも用心を:ぱふぅ家のホームページ
- フィッシング詐欺に引っかからないために:ぱふぅ家のホームページ
- 「EV-SSL」導入サイトが増加中、1年で4000件を突破:ITpro
- 日本電子認証協議会
- CA/Browser Forum
(この項おわり)
そこで、2007年(平成19年)頃から利用組織名を表示する EV SSL証明書 が登場し、対応サイトにアクセスするとブラウザのURLが緑色になるように変わりました。
しかし、組織名は信頼指標にならないことから、2019年(平成31年)、ChromeではSSLと変わらない表示に戻されています。