より厳格な審査によって発行される新世界標準のSSLサーバ証明書-「EV SSL証明書」

 -なぜ新しいSSL証明書が必要とされているのか?-
SSLの本来の機能は大きく分けて2つあることをご存知ですか?
すなわち「暗号化」と「実在証明」です。「暗号化」については、このページをお読みになっている方であれば説明するまでもないでしょう。インターネットは基本的に開かれたネットワークであるため、重要な情報の送受信については、盗聴や改ざんを防ぐためにその通信経路を暗号化することが不可欠です。このインターネット上での通信暗号化に最も広く使われているのがSSLです。

では、もう一つの機能である「実在証明」とは何を意味するのでしょうか?先ほどインターネットは「開かれた」ネットワークであると書きましたが、同時にインターネットは「相手の顔の見えない」ネットワークでもあるわけです。つまり、あなたが通信している相手が、本当にあなたが考えている相手かどうかを確認することが難しい、ということです。

具体的な例を挙げてみましょう。たとえ個人であっても十分な知識があれば、A銀行のウェブサイトのコンテンツを丸々コピーして、適当に似たような名前のドメインを取得することで、あたかもインターネット上でA銀行であるかのように振舞うことができます。あとはそのニセのA銀行ウェブサイトに、何らかの方法、例えば銀行口座を持っている方へのお知らせメールのような形でユーザを誘導し、口座のID・パスワードの入力を促す...これが、最近世界的に被害の拡大している「フィッシング詐欺」(いわばインターネット上の「オレオレ詐欺」)の手法です。

では、一般的なインターネットユーザはどうすれば安心・安全に自分の銀行口座にアクセスできるのでしょうか?実はここに使われるのがSSLの「実在証明」の機能です。IEあるいはFirefox等のウェブブラウザ側に実装された機能により、ユーザがSSL経由でアクセスしているウェブサイトのSSLサーバ証明書が、特定の認証局から発行されているかどうかを確認し、もしブラウザに登録のない認証局の場合には警告が表示されます。

ところが近年、SSLの暗号化の機能だけを使い、実在証明を省いた証明書が広く使われるようになってきました。つまり、特定の既に信頼関係のあるグループ内で利用する場合であれば、手間のかかる実在証明は不要で、通信経路がSSLの暗号化がされていればそれで良い、とするものです。これは例えば、企業内でのVPNにSSL-VPNを使う場合であるとか、あるいは自社のメールサーバに対してSSL経由でアクセスする場合(SMTP over SSL、あるいはPOP over SSL)などが考えられます。

このように社内のサーバにアクセスするような場合には、確かに複雑な手続きを得て第三者である認証局に、わざわざ実在認証をしてもらう必要はないでしょう。この考えかたに沿って、ドメインの所有者確認だけを行う証明書の審査方法を一般に「ドメイン認証」、もしくは「ドメインマッチング」と呼びます。また前述のように、不特定多数のユーザからアクセスを受けることを前提に、サーバ運営者の実在証明をするものを「実在認証」と呼びます。

そして残念ながら、この「ドメイン認証」と「実在認証」、それぞれの方法によって発行されたSSLサーバ証明書を、一般のユーザが簡単に見分ける方法はこれまでありませんでした。金融機関が実在認証を受けて発行された証明書であっても、個人が匿名でドメイン認証によって取得したSSLサーバ証明書も、どちらも同じように、ブラウザの右下に南京錠マークが表示されてしまうのです。

この仕組みを犯罪者が悪用するであろうことは、皆さんにも容易に想像がつくかと思います。既に欧米では、このドメイン認証によって発行されたSSLサーバ証明書が使われているフィッシングサイトが多数(数百件以上も)報告されるまでになってしまいました。

このままでは、一般ユーザは安心してネットを利用することができません。そこでこれらの問題に対処するため、世界の主要な認証局とブラウザベンダーによって米国で設立されたのがCA/BrowserForum(略称:CABF)です。CABFの目的は、SSLサーバ証明書を発行するための厳格な認証プロセスの要件定義と標準化を行うことです。また、日本でもCABFに呼応する形で、国内の主要な認証事業者とブラウザベンダー、合計10社が発起人となり、「一般社団法人 日本電子認証協議会」(略称:JCAF)が2007年1月に設立されました。

  CA/Browser Forum   http://www.cabforum.org/

  日本電子認証協議会  http://www.jcaf.or.jp/

そして2006年10月にCABFが発表したのが「Guidelines For Extended Validation Certificates」(EV証明書ガイドライン)であり、このガイドラインに準拠して発行されるのが「EV SSL証明書」なのです。

EV SSL証明書とは?

EV SSL証明書については、以下をご覧ください。

 EV証明書とは?

プレスリリース

クロストラストは、業界初の日本語対応 EV SSL証明書の提供を2007年5月31日より開始しました。

 クロストラスト、業界初の日本語対応 EV SSL証明書の提供を開始

EV SSL証明書に関するよくある質問(FAQ)

EV SSL証明書に関するよくある質問(FAQ)は、以下をご覧ください。

 EV SSL証明書に関するよくある質問(FAQ)

EV SSL証明書に関するお問い合わせ

EV SSL証明書に関するお問い合わせは、以下よりお願いします。

 EV SSL証明書お問い合わせ

お申込方法

EV SSL証明書をお申込されたい方は、以下よりお進みください。

 EV SSL証明書のお申込から発行までの流れ