いろいろやってみるにっき

てきとーに生きている奴の日記

古いエントリのサムネイル画像がリンク切れになってたりするけど、チマチマ修正中


当サイトもEV SSL証明書についてのスタンスを変えます

ちょっと気になるツイートを見掛けた。このエントリではツイートと同じくSSL証明書で通すが、SSL/TLS証明書という表記方法もある。

 

上記ツイートで紹介されているブログ。

 1. Chrome でEV証明書の組織名表示がなくなる

 

(中略)

 

2018年AppleはiOS12でSafariでのEVの組織表示をやめました。 CABForumのF2F会議の議事録によると、Appleの話では「この変更は、調査と顧客の意見を基に行ったものである。組織名が、ユーザの意図した接続先とドメイン名と同じように結びついているわけではない。」と書いてあります。

 

上記サイトは詳しく記載しているので、是非とも読んでみて欲しい。また上記ブログ内にリンクがある下記のPDFも重要である。

TLSとWebブラウザの表示のいまとこれから
~URLバーの表示はどうなるのか~

 

ChromeSafariでEVの組織表示をやめるということは、OV SSL証明書との見た目の違いは無くなるということである。企業の実在確認については元々下記のような整理である。

 

 DV

 OV

 EV

 認証のレベル

 低レベル

 高レベル

 最高レベル

 企業の実在確認

 ×

 ○

 ◎

 

上記にリンクしたサイトに記載されているが、現在EVだからといって企業の実在確認がOVよりも上とは言えなくなっているという事例が挙げられている。

2つ目は、米国のセキュリティ研究者 Ian Carroll氏が、米国では州が異なれば同じ会社名の法人が設立できることを使い、デラウェア州にある決済のStripe社と同じ社名のStripe社をケンタッキー州で設立しました。 この会社を使って正式なEV証明書を取得し、同じStripe社を表示する正当なEV証明書によるフィッシングサイトが立ち上げられられることを公表しました。2つを比べるとURLは異なりますが、EV表示だけを見ていると全く同じです。

補足するとstripe社は決済サービスを行っている企業。フィッシングなどがあると直接被害が想定される。

今のところは社名表示されている。

f:id:shigeo-t:20190813090445p:plain

DigiCertのEV(Extended Validation) SSL証明書である。

f:id:shigeo-t:20190813090949p:plain

f:id:shigeo-t:20190813090506p:plain

 

ということで、状況が改善しない限りはEV SSL証明書かどうかは証明書を表示させないと分からないし、EV SSL証明書だからといって信用できるかどうかは証明書次第ということになる。

 

下記の過去エントリの先頭にEV証明書についての記載を追加して、注意を促すことにする。


今回はこんなところで。

SSL/TLSを理解する ~共通鍵暗号・公開鍵暗号・ハッシュ関数・電子署名・証明書~

SSL/TLSを理解する ~共通鍵暗号・公開鍵暗号・ハッシュ関数・電子署名・証明書~

 
プロフェッショナルSSL/TLS

プロフェッショナルSSL/TLS

 
お時間あったら、他のエントリもクリックして頂ければ幸いです。