高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
タイトルに EV SSL を入れてらっしゃいますが議論の中心は SSL 証明書の共用に関してでした
HTTPS と SSL 証明書によって何が実現されるかというと
- サーバのなりすまし防止 (証明書によるサーバ認証)
- 通信経路における盗聴の防止 (暗号化で)
- 通信経路における改竄の防止 (暗号化で)
なりすまし防止の為に何がなされているかというと、
- そのサーバのドメインの所有者がどこの誰なのか・何て会社なのか (実在認証)
- 通信が確かに認証されてる FQDN のサーバとされている
前者は SSL 証明書に記載されているわけですが今まで見るのが面倒だったので
アドレスバーやらロケーションバーに表示してしまった方が分かりやすいというのが
EV SSL サーバ証明書の売りの 1 つなはずなのに
「共用 SSL では結局誰に情報送ってるか分からないじゃないの!」ってのが高木さんの主張
もっともだ
EV SSL だと更に、バラバラだった実在認証の審査基準を業界で統一して
弁護士さんの意見書が必要だとか中々厳しいことを課してるってのがミソみたいです
EVC ガイドライン公開にあたっての注意文 - JCAF 日本電子認証協議会 で審査基準が見れます
で、なりすましの後者の方ですが、高木さんの仰っている
「格安のDV SSL(domain だけ validate する)」の部分です
domain/FQDN に関してだけ審査していて、それがどこの誰のものかまでは認証しません
確かに手間も減るのでお値段も「格安」となるのですが
なりすまし防止という点ではちょっと弱くなってしまっています
その domain が誰のものかって分かってれば全く問題ないんですが
で、普通の証明書は EV という基準ではないけど実在認証がされていて
ではどんな基準かというと各認証局が独自で定めた基準ってことになります
- 普通の SSL 証明書 (各認証局独自の基準でドメイン・実在認証)
- EV SSL 証明書 (統一基準 (厳しめ) でドメイン・実在認証)
- DV SSL 証明書 (各認証局独自の基準でドメインだけ確認)
こんなややこしいの知らなくても EV さえ知ってれば十分だ!
という分かり易いことになればいいんですが
EV SSL 証明書を使ってアドレスバーに社名などの表示を
更にそれを日本語でしてくれるととても分かりやすいので
是非ともどのページもそんな感じになったらいいなぁ
