ブラウザが暗号化されたウェブサイトにウェブサイトの組織名を表示することがあることに気づいたことがありますか?これは、Webサイトに拡張検証証明書があることを示しており、WebサイトのIDが検証されたことを示しています。
EV証明書は、追加の暗号化強度を提供しません。代わりに、EV証明書は、WebサイトのIDの広範な検証が行われたことを示します。標準のSSL証明書では、WebサイトのIDをほとんど検証できません。
ブラウザがExtendedValidation証明書を表示する方法
拡張検証証明書を使用しない暗号化されたWebサイトでは、FirefoxはWebサイトが「実行者(不明)」であると言います。
Chromeの表示に違いはなく、ウェブサイトのIDは、ウェブサイトの証明書を発行した認証局によって確認されたと表示されます。
拡張検証証明書を使用するWebサイトに接続すると、Firefoxはそれが特定の組織によって運営されていることを通知します。このダイアログによると、VeriSignは、PayPal、Incが運営する実際のPayPalWebサイトに接続していることを確認しました。
ChromeでEV証明書を使用するサイトに接続すると、組織の名前がアドレスバーに表示されます。情報ダイアログは、PayPalのIDが拡張検証証明書を使用してVeriSignによって検証されたことを示しています。
SSL証明書の問題
数年前、認証局は証明書を発行する前にWebサイトのIDを確認していました。認証局は、証明書を要求しているビジネスが登録されていることを確認し、電話番号に電話をかけ、そのビジネスがWebサイトと一致する正当な操作であることを確認します。
最終的に、認証局は「ドメインのみ」の証明書の提供を開始しました。認証局がリクエスターが特定のドメイン(Webサイト)を所有していることをすばやく確認する作業が少ないため、これらの方が安価でした。
フィッシング詐欺師は最終的にこれを利用し始めました。フィッシング詐欺師は、ドメインpaypall.comを登録し、ドメインのみの証明書を購入できます。ユーザーがpaypall.comに接続すると、ユーザーのブラウザに標準のロックアイコンが表示され、誤った安心感が得られます。ブラウザには、ドメインのみの証明書と、ウェブサイトのIDのより広範な検証を伴う証明書の違いは表示されませんでした。
Webサイトを検証するための認証局に対する一般の信頼は低下しています。これは、認証局がデューデリジェンスを怠った一例にすぎません。 2011年、Electronic Frontier Foundationは、認証局が「localhost」(常に現在のコンピューターを指す名前)に対して2000を超える証明書を発行したことを発見しました。 (( ソース )悪意のある人にとっては、そのような証明書は中間者攻撃を容易にする可能性があります。
Extended ValidationCertificatesの違い
EV証明書は、認証局がWebサイトが特定の組織によって運営されていることを確認したことを示します。たとえば、フィッシング詐欺師がpaypall.comのEV証明書を取得しようとすると、リクエストは拒否されます。
標準のSSL証明書とは異なり、EV証明書の発行は独立監査に合格した認証局のみが許可されています。認証局/ブラウザフォーラム(CA /ブラウザフォーラム)、認証局とMozilla、Google、Apple、Microsoftなどのブラウザベンダーの自主的な組織 厳格なガイドライン 拡張検証証明書を発行するすべての認証局が従う必要があります。これにより、認証局が別の「底辺への競争」に巻き込まれるのを防ぐのが理想的です。そこでは、緩い検証手法を使用して、より安価な証明書を提供します。
要するに、ガイドラインは、認証局が証明書を要求する組織が正式に登録されていること、問題のドメインを所有していること、および証明書を要求する人が組織を代表して行動していることを確認することを要求しています。これには、政府の記録を確認し、ドメインの所有者に連絡し、組織に連絡して、証明書を要求している人が組織で働いていることを確認することが含まれます。
対照的に、ドメインのみの証明書の検証では、ドメインのwhoisレコードを一瞥して、登録者が同じ情報を使用していることを確認するだけで済みます。 「localhost」などのドメインの証明書の発行は、一部の認証局がそれほど多くの検証を行っていないことを意味します。 EV証明書は、基本的に、認証局に対する一般の信頼を回復し、詐欺師に対するゲートキーパーとしての役割を回復する試みです。
