〜 卓越した品質へ 〜

EV証明書って?

EV証明書(Extended Validation証明書)という証明書があります。これは,認証局が厳格に審査を行い,法的に存在してかつ,ドメインの所有者であることを確認できた組織にのみ発行されるものです。だから,自分のWebサイトをEV証明書で証明しておくと,信頼性の高いサイトだということができます。グローバルサインなどの認証局は,EV証明書を普通の証明書の倍くらいの値段で販売しているので,収益源になっているのだと思います。

また,FirefoxやChromeなどの各ブラウザは,EV証明書で認証されいてるサイトを優遇して,URLバーなどにEV証明書情報を表示していました。ユーザは,EV証明書が発行されているサイトであることを,一目で確認することができたのです。

EV証明書の危機

ところがこのEV証明書,ユーザへの浸透度があんまりなく,ユーザはEV証明書だろうが,通常のSSL証明書だろうが,Webサイトに対する行動に変化がなかったらしいのです。Googleが大規模な実験を行なって,ユーザの行動を確認したそうです。こちらに詳しい内容が出ています。

さらに,EV証明書の弱点というか,米国の法人設立の抜け穴というか,別の州などの管轄の異なる地域で同じ名前の会社を設立することで,エンティティ名が競合するEV証明書を発行することができることが示されて,EV証明書って本当に必要なんだっけ?という議論になってしまったようです。Gigazineに紹介記事が出ています。

各ブラウザの対応

このように,EV証明書の有効性が疑問視されるようになると,ブラウザ開発側としては,重要な画面表示の一角をEV証明書のためだけに利用させることは合理的でないと判断することになります。IEとSafariはすでにEV証明書であることを,URLバーで表示することはやめていますが,今回,ChromeとFirefoxも同様の措置をとることになりました。ChromeはChrome77から,FirefoxはFirefox70からEV証明書情報をURLバーに表示しないことになります。

じゃぁセキュリティは?

EV証明書は,サイトが登記されている会社であることを証明する手法で,一時期はセキュリティを担保することができていたと(個人的には)思います。でも,次の理由から,すでに有効ではないと判断されてしまいました。
(1) 有名な会社と同じ会社名での証明書が発行できてしまう。
(2) ユーザはEV証明書だからと言って,行動を変えない。

私のサイト無料SSLのLet’s encryptで発行したSSL証明書を利用しています。ドメインを持っていれば,誰でも発行できる証明書です。これと,グローバルサインなどの商用CAから12万円/年も出して購入した証明書の扱いが同等になってしまっているのは,これでいいのか?って思ってしまいます。もちろん,私のサイトが怪しいという意味ではありません(笑)。

信頼できるサイトと怪しいサイトを利用者が見分けることができる方法を検討していく必要があります。例えば,ブロックチェーンの技術を使って,信頼できる署名をつなげていくとか。。。

認証局は大丈夫?

常時SSLやEV証明書などで,商用認証局はビジネス的に追い風が吹いていたはずです。ところが,常時SSLは無償SSLが登場し,EV証明書は,優遇策がなくなってしまいました。新しい商機を見つける必要が出てきているのかもしれません。

私は,第三者のCAによる証明書発行によるPKIシステムはまだまだ有効だと考えています。IoT方面などに,どんどん広がっていくでしょうから,IT業界でPKIが消滅してしまわないようにして欲しいところです。