採用情報

お問い合わせ

BLOG

SSL/TLS サーバー証明書 BLOG

カスタマーサービス部便り

2022 年 08 月 30 日

Microsoft Internet Explorer (IE) バージョン 11 のサポート終了で EV 証明書のメリットはなくなったのか!?

こんにちは。サイバートラスト カスタマーサービス部です。

2022 年 6 月 15 日をもって Microsoft Internet Explorer(IE)バージョン 11 がサポート終了となり、約 27 年続いた IE の歴史に幕を閉じました。
サーバー証明書に携わるカスタマーサービス部としては、EV 証明書ではアドレスバーを緑で表示するブラウザが減っていく中で IE だけが最後までアドレスバーを緑で表示していたので、一抹の寂しさがあります。

また、お客様からは「緑にならないなら EV 証明書にするメリットはないのでは?」というお問い合わせも寄せられました。
「サイトにアクセスしただけでわかりやすい表示」では無くなりましたが、ブラウザ上で EV 証明書を使用していることの確認もできますし、厳格な基準に基づいて発行される EV 証明書の信頼性も変わりません。

緑色のアドレスバー

EV 証明書とは

サーバー証明書には認証レベルによって、EV 証明書(拡張認証)、OV 証明書(企業認証)、DV 証明書(ドメイン認証)の 3 種類があります(EV: Extended Validation, OV: Organization Validation,  DV: Domain Validation)。

暗号化強度の違いはありませんが、サーバー証明書の申請組織(Web サイトの保有者)の実在性に対する認証レベルが異なり、サイト利用者からの信頼性が変わります。

DV 証明書は、ドメイン名の使用権を持っていることの認証のみですが、OV 証明書はドメイン名使用権に加えて申請組織についても審査し、認証しています。EV 証明書は申請組織の登記情報を確認するなど、更に厳格に審査・認証するものです。

証明書種別 認証レベル 運営者の実在性確認
EV 証明書 ★★★ 厳格に実施
OV(企業認証)証明書 ★★ 実施
DV 証明書 なし

認証レベルについては、下記のブログも併せてご一読いただけると幸いです。
SSL/TLS サーバー証明書の認証レベルとは?

DV証明書はフィッシングサイトで多く使われている

DV 証明書 は、サイトの運営者の実在性の認証を行わないため、正規のサイトのドメインを少し変えたドメインでもサーバー証明書を取得できてしまいます。そのため、正規サイトに似せたフィッシングサイトに悪用されるケースが多くあります。

以下の表は CA/BROWSER FORUM(CA/B)で公開されたフィッシングサイトでのサーバー証明書利用数です。

DV 証明書の利用数の多さに対し、EV 証明書は 0 件と、これまでフィッシングサイトで使用された実績はありません。 厳格な審査を経て発行されるため、フィッシングサイトが EV 証明書を使用することは現実的ではないのです。

証明書種別 フィッシングサイト利用数 比率
EV 証明書 0 件 0 %
OV(企業認証)証明書 1,128 件 9.5 %
DV 証明書 10,765 件 90.5 %

※ 2019 年 5 月時点での集計
情報元: CA Browser Forum

証明書情報で発行先の組織名が確認できるのは EV 証明書だけ

主要ブラウザでは、アドレスバーでどの認証レベルのサーバー証明書を使用しているかは判別できなくなりましたが、EV証明書はアドレスバーの鍵マークをクリック後に証明書の発行先の組織名が表示されます。
組織名の表示は、EV 証明書だけが差別化された表示のため、正規のサイトであることを強くアピールできます。

EV 証明書の場合

cs-ev-merit-figure01.png

OV(企業認証)証明書の場合

cs-ev-merit-figure02.png

※ DV 証明書は発行先の組織名の確認はできません。

フィッシング対策協議会も EV 証明書を推奨

フィッシング対策協議会(フィッシングに関する情報収集・提供、注意喚起等の活動行っている団体)でも、フィッシング対策にはEV証明書を推奨しています。

下記はフィッシング対策協議会のガイドラインを抜粋したものです。

すべての Web ページで HTTPS でのアクセスを提供する必要がある。サーバー証明書を使った HTTPS による暗号通信では、機密性保護に加え、アクセスしている Web サーバーの正当性(ドメイン名を含めたサーバー名と運営者との関係について認証局が確認をとっているということ)を確認できる。ブラウザーによっては、HTTPS を使っていないと安全でないという警告が出される。

検索エンジンでは HTTPS のページが優先されており、検索によるフィッシングサイトへの誘導を防ぐ上でも効果的である。

なお、Web サイトで用いるサーバー証明書の種類については、DV(Domain Validation)、OV(Organization Validation)および EV(Extended Validation)があり、特に、EV は証明書発行機関により Web サイト運営者の実在確認を厳格に実施した上で発行されるため、組織としては高い信頼性を得ることができる。

参照:フィッシング対策ガイドライン(【要件8】◎:すべてのページにサーバー証明書を導入すること)

筆者は職業柄もあり、特にインターネットで個人情報を入力する際は必ずサーバー証明書を確認しています。 個人の感想となりますが、やはり発行先が明確に確認できるサイトは安心して利用できると感じます。

サイバートラストでは、法人のお客様向けサービスをご提供していることと、お客様に信頼された証明書をお使いいただきたいという理由で、EV 証明書と OV 証明書をご提供しています。
このブログをお読みいただき、これからも安心して EV 証明書をお使いいただけると幸いです。

本記事に関連するリンク

SSL/TLS サーバー証明書 SureServer Prime 資料ダウンロード

サイバートラストの SSL/TLS サーバー証明書 SureServer Prime に関する概要や詳細情報などを PDF 資料でご用意いたしました。無料でダウンロードいただけます。

メールアドレス 必須

※ 誤登録を防止するため、ご入力いただいたメールアドレス宛に一度確認メールを送信させていただきますので、確認メール内の URL をクリックしてください。その後、ご登録のメールアドレスにダウンロード URL をお送りします。

サイバートラストの SSL/TLS サーバー証明書 SureServer Prime に関する概要や詳細情報などを PDF 資料でご用意いたしました。無料でダウンロードいただけます。

デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS