Extended Validation 証明書
Extended Validation 証明書 [1] (EV 証明書とも) とは、発行者による主体者の審査に一定の基準を設けた公開鍵証明書である。ウェブサイトの認証と暗号化処理に使われるSSL/TLS (以下、単にSSL) サーバー用の公開鍵証明書 (この場合、単にEV SSL証明書とも) のほか、電子メールやコード・サイニング用の公開鍵証明書がある。本記事では以下、SSL用の証明書を中心に記述している。
概要
[編集]SSLの元来の考え方は、SSL証明書の取得時にウェブサイトの管理者が認証局 (CA) の審査を経なければならなくすることで、デジタル証明書によるオンライントランザクションに信頼を与えることであった。
しかし、ほとんどのWebブラウザのユーザインタフェースにおいては、安直な確認をした証明書と厳格な審査をした証明書とが区別されてこなかったため、混乱が生じることとなった。多くのWebブラウザではSSLで接続出来た場合に南京錠のアイコンが表示されるだけで、そのウェブサイトの持ち主がきちんと審査されたのかどうかは明確には判らなかった。その結果、フィッシングサイトなど、悪意ある者たちによって自分のウェブサイトが信頼出来るものであるかのように見せかけるためにSSLが使われ始めるようになった。
EV SSL証明書は、次の点において利用者の信頼を回復することを目的としている。
- 認証
- 同定
- 暗号
EVの指針を策定したのは、先行した認証局、インターネットソフトウェアやその他アプリケーションのベンダー、法律や監査の専門家らによって自発的組織として結成された CA/Browser Forum である。
独立した監査によりWebTrust指針(もしくはそれと同等)の認定の一部を満たしたCAだけがEV SSL証明書の発行を許される。EV証明書は以下のような詳細な発行要件に従って発行される。
- ウェブサイト所有者が運用上および物理的に実在しているだけでなく、法的実在性も確立されていること
- ウェブサイト所有者により、該当URLに対する排他的な制御が確立されていること
- ウェブサイト所有者のための作業者の同定と責任、および、責任ある役員によって署名された法的義務を伴う文書の確認
利用者にとっての利点は、最新のWebブラウザを使った場合に、従来のSSL証明書より多くの情報をEV SSL証明書から取得して確認できることである。マイクロソフトのInternet Explorerは、バージョン7で初のEV対応Webブラウザとなった。その後、主要なWebブラウザはEVに対応している。Internet Explorer 7ではEV証明書が検出されると、
- アドレスバーが緑色になる。
- ウェブサイト所有者の名称や所在地の要約と、証明書を発行したCA名が交互に表示される専用のラベルが現れる。
なお、EV未対応のWebブラウザでは通常のSSLサイトとして表示されるため、互換性は保たれる。
Extended Validation (EV) の指針では、参加するCAに対するEV識別子の割当が要求されている。この識別子は、独立した監査の完了とその他の条件の成立後に、EVをサポートするWebブラウザのベンダーに登録される。
なおEV SSLにおいては、URLの正当性をCAが担保する目的から、通常のSSLで使われるようなワイルドカード証明書の発行は認められず、仮にそのような証明書を無理に発行したとしても、Webブラウザ側で受け入れを拒否される[2]。ただInternet Explorerにおいては、かつてワイルドカードを使用したEV SSL証明書を受け入れてしまう脆弱性が存在した[3]。
上記のようにEV SSLはウェブサイト所有者の身元確認を強化したものだが、ウェブサイトの安全性を保障するものではない。所有者が悪意を持っているかもしれないし、ウェブサイトが第三者から乗っ取られる可能性も存在する。
対応ウェブブラウザ
[編集]主要ウェブブラウザにおけるEV SSLの対応状況は以下の通りである[4]。
- Google Chrome:1.0以降
- Firefox:3.0.0以降
- Internet Explorer:7.0以降
- Opera:9.5以降
- Safari:3.2以降
EV証明書表示位置の移動
[編集]セキュリティ研究者の調査により、アドレスバー上のEV証明書の緑色や組織名表示は、フィッシング等に対して利用者が安全な選択をするための意味のある保護対策とならないことが分かった[5]。そのためいくつかのブラウザはEV証明書表示をアドレスバーからページ情報へ移動している。
- Google Chrome : 77.0以降[6]
- Firefox : 70以降[7]
Edgeについてもマイクロソフトは、ウェブページが正当なものかを判断する際、EV証明書の緑色のバーの効果は限定的であるとしており[8]、バージョン44.17763時点でEV証明書であっても緑色で組織名が表示されるものとそうでないものがある。
EV証明書の特定
[編集]EV証明書を特定する一貫した方法は存在しない。EV証明書であることを示すため、各証明書発行者ごとに別々な オブジェクト識別子 (OID) が証明書ポリシーの拡張フィールドにあり、それらは発行者の CPS (Certification Practice Statement) で文書化される。
発行者 | OID | CPS |
AffirmTrust | 1.3.6.1.4.1.34697.2.1
|
AffirmTrust CPS v1.1, p. 4 |
A-Trust | 1.2.40.0.17.1.22
|
a.sign SSL EV CPS v1.3.4 |
Buypass | 2.16.578.1.26.1.3.3
|
Buypass Class 3 EV CPS, p. 10 |
Camerfirma | 1.3.6.1.4.1.17326.10.14.2.1.2
|
Camerfirma CPS v3.2.3 |
Comodo Group | 1.3.6.1.4.1.6449.1.2.1.5.1
|
Comodo EV CPS, p. 28 |
DigiCert | 2.16.840.1.114412.2.1
|
DigiCert EV CPS v. 1.0.3, p. 56 |
DigiNotar(現存せず[9]) | 2.16.528.1.1001.1.1.1.12.6.1.1.1
|
DigiNotar CPS v 3.5, p. 2 |
E-Tugra | 2.16.792.3.0.4.1.1.4
|
E-Tugra Certification Practice Statement (CPS), p. 2 |
Entrust | 2.16.840.1.114028.10.1.2
|
Entrust EV CPS, p. 37 |
ETSI | 0.4.0.2042.1.4
|
ETSI TS 102 042 V2.4.1, p. 18 |
Firmaprofesional | 1.3.6.1.4.1.13177.10.1.3.10
|
SSL SECURE WEB SERVER CERTIFICATES, p. 6 |
GeoTrust | 1.3.6.1.4.1.14370.1.6
|
GeoTrust EV CPS v. 2.6, p. 28 |
GlobalSign | 1.3.6.1.4.1.4146.1.1
|
GlobalSign EV CPS v. 6.5, p. 24 |
GoDaddy | 2.16.840.1.114413.1.7.23.3
|
GoDaddy EV CPS v. 2.0, p. 42 |
Izenpe | 1.3.6.1.4.1.14777.6.1.1
|
DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV, |
Kamu Sertifikasyon Merkezi | 2.16.792.1.2.1.1.5.7.1.9
|
TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE |
Keynectis | 1.3.6.1.4.1.22234.2.5.2.3.1
|
KEYNECTIS EV CA CPS v 0.3, p. 10 |
Network Solutions | 1.3.6.1.4.1.782.1.2.1.8.1
|
Network Solutions EV CPS v. 1.1, 2.4.1 |
QuoVadis | 1.3.6.1.4.1.8024.0.2.100.1.2
|
QuoVadis Root CA2 CP/CPS, p. 34 |
SECOM Trust Systems | 1.2.392.200091.100.721.1
|
SECOM Trust Systems EV CPS (in Japanese), p. 2 |
Starfield Technologies | 2.16.840.1.114414.1.7.23.3
|
Starfield EV CPS v. 2.0, p. 42 |
StartCom Certification Authority | 1.3.6.1.4.1.23223.2
|
StartCom CPS, no. 4 |
Swisscom | 2.16.756.1.83.21.0
|
Swisscom Root EV CA 2 CPS (in German), p. 62 |
SwissSign | 2.16.756.1.89.1.2.1.1
|
SwissSign Gold CA-G2 CP/CPS, p. 7 |
Thawte | 2.16.840.1.113733.1.7.48.1
|
Thawte EV CPS v. 3.3, p. 95 |
Trustwave | 2.16.840.1.114404.1.1.2.4.1
|
SecureTrust EV CPS v1.1.1, p. 5 |
VeriSign | 2.16.840.1.113733.1.7.23.6
|
VeriSign EV CPS v. 3.3, p. 87 |
Verizon Business(旧Cybertrust) | 1.3.6.1.4.1.6334.1.100.1
|
Cybertrust CPS v.5.2, p. 20 |
Wells Fargo | 2.16.840.1.114171.500.9
|
WellsSecure PKI CPS v. 12.1.2, p. 14 |
WoSign | 1.3.6.1.4.1.36305.2
|
WoSign CPS V1.2.4, p. 21 |
* 旧XRamp Security Services, Inc.
脚注
[編集]- ^ この validation という用語は、証明書関連でしばしば登場する Certification path validation algorithm と紛らわしいが異なるものであるので注意。
- ^ Why can’t I get a Wildcard Extended Validation (EV) SSL Certificate? - Network Solutions
- ^ CVE-2014-2783 - National Vulnerability Database
- ^ “緑色のバーの表示について”. シマンテック. 2014年7月29日閲覧。
- ^ “EV UI Moving to Page Info”. The Chromium Projects. 2019年9月17日閲覧。
- ^ “Upcoming Change to Chrome's Identity Indicators”. The Chromium Projects. 2019年9月17日閲覧。
- ^ “Bug 1572936 - Move EV cert UI out of URL Bar”. Mozilla Firefox. 2019年9月17日閲覧。
- ^ “Security and privacy”. Microsoft. 2019年9月17日閲覧。
- ^ "VASCO Announces Bankruptcy Filing by DigiNotar B.V." (Press release). VASCO. 20 September 2011. 2015年1月29日閲覧。
関連項目
[編集]外部リンク
[編集]- CA/Browser Forum のウェブ・サイト (英語)
- CA/Browser Extended Validation 指針1.5.0版 (英語)
- 処理ソフトウェアの指針2.0版 (英語)
- 米弁護士協会 デジタル証明書ワーキング・グループ (英語)
- Entrust EV SSL証明書の情報 (英語)
- DigiCert EV SSL証明書の情報 (英語)
- Symantec(旧VeriSign)のExtended Validation SSL FAQ (英語)
- セコムトラストシステムズのEV SSL証明書の情報(日本語)
- グローバルサインのEV SSL証明書の情報(日本語)
- Netcraftの記事 (英語)