|
Extended Validation 証明書 〔 この validation という用語は、証明書関連でしばしば登場する Certification path validation algorithm と紛らわしいが異なるものであるので注意。〕 (EV 証明書とも) とは、発行者による主体者の審査に一定の基準を設けた公開鍵証明書である。ウェブサイトの認証と暗号化処理に使われるSSL/TLS (以下、単にSSL) サーバー用の公開鍵証明書 (この場合、単にEV SSL証明書とも) のほか、電子メールやコード・サイニング用の公開鍵証明書がある。本記事では以下、SSL用の証明書を中心に記述している。 == 概要 == SSLの元来の考え方は、SSL証明書の取得時にウェブサイトの管理者が認証局 (CA) の審査を経なければならなくすることで、デジタル証明書によるオンライントランザクションに信頼を与えることであった。 しかし、ほとんどのWebブラウザのユーザインタフェースにおいては、安直な確認をした証明書と厳格な審査をした証明書とが区別されてこなかったため、混乱が生じることとなった。多くのWebブラウザではSSLで接続出来た場合に南京錠のアイコンが表示されるだけで、そのウェブサイトの持ち主がきちんと審査されたのかどうかは明確には判らなかった。その結果、フィッシングサイトなど、悪意ある者たちによって自分のウェブサイトが信頼出来るものであるかのように見せかけるためにSSLが使われ始めるようになった。 EV SSL証明書は、次の点において利用者の信頼を回復することを目的としている。 #認証 #同定 #暗号 EVの指針を策定したのは、先行した認証局、インターネットソフトウェアやその他アプリケーションのベンダー、法律や監査の専門家らによって自発的組織として結成された CA/Browser Forum である。 独立した監査によりWebTrust指針(もしくはそれと同等)の認定の一部を満たしたCAだけがEV SSL証明書の発行を許される。EV証明書は以下のような詳細な発行要件に従って発行される。 * ウェブサイト所有者が運用上および物理的に実在しているだけでなく、法的実在性も確立されていること * ウェブサイト所有者により、該当URLに対する排他的な制御が確立されていること * ウェブサイト所有者のための作業者の同定と責任、および、責任ある役員によって署名された法的義務を伴う文書の確認 利用者にとっての利点は、最新のWebブラウザを使った場合に、従来のSSL証明書より多くの情報をEV SSL証明書から取得して確認できることである。マイクロソフトのInternet Explorerは、バージョン7で初のEV対応Webブラウザとなった。その後、主要なWebブラウザはEVに対応している。Internet Explorer 7ではEV証明書が検出されると、 * アドレスバーが緑色になる。 * ウェブサイト所有者の名称や所在地の要約と、証明書を発行したCA名が交互に表示される専用のラベルが現れる。 なお、EV未対応のWebブラウザでは通常のSSLサイトとして表示されるため、互換性は保たれる。 Extended Validation (EV) の指針では、参加するCAに対するEV識別子の割当が要求されている。この識別子は、独立した監査 の完了とその他の条件の成立後に、EVをサポートするWebブラウザのベンダーに登録される。 なおEV SSLにおいては、URLの正当性をCAが担保する目的から、通常のSSLで使われるようなワイルドカード証明書の発行は認められず、仮にそのような証明書を無理に発行したとしても、Webブラウザ側で受け入れを拒否される〔Why can’t I get a Wildcard Extended Validation (EV) SSL Certificate? - Network Solutions〕。ただInternet Explorerにおいては、かつてワイルドカードを使用したEV SSL証明書を受け入れてしまう脆弱性が存在した〔CVE-2014-2783 - National Vulnerability Database〕。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「Extended Validation 証明書」の詳細全文を読む スポンサード リンク
|