Enterprise Watch
最新ニュース

EV SSLでアドレスバー変色機能を正しく活用するには?-日本ベリサインが説明


米Verisign、プロダクトマーケティングディレクタのTim Callan氏
 日本ベリサイン株式会社は4月12日、フィッシング詐欺などのオンライン犯罪対策として期待される「Extended Validation(EV) SSL証明書」について説明会を開催。米Verisign、プロダクトマーケティングディレクタのTim Callan氏から、EV SSL証明書に関する取り組みや技術的な仕組みなどが説明された。

 同氏はまず、昨今のインターネットを取り巻く環境を説明。1年前には4000カ所ほどだったフィッシングサイトがこの1年間で3万7000カ所にまで増加している点を指摘。その上で、数千人のインターネットユーザーに対して行った調査において、90%の人が正規のWebサイトとフィッシングサイトを見分けられなかったことに触れた。

 そうした問題を抱える時代の要請に応えるようにして現れたのがEV SSL証明書。2007年に行われた調査では、Webブラウザのアドレスバーが緑色に変色していた場合、100%のユーザーがそれに気づいたという。さらに、一度アクセスして緑色だったWebサイトが、次回アクセスしたときに緑色でなくなっていた場合、その時点で77%の人がオンライン取引を中止するという事実も明らかになったと同氏は話す。

 「こうした調査からも、EV SSL証明書の効果の高さが証明されている」(同氏)。

 EV SSL証明書の発行にあたっては、2年前に設立された「CA/Browzer Forum」にて厳密なプロセスのルール化が行われている。同フォーラムにて基準の策定から尽力してきた同氏によれば、「企業の登記を調べるのはもちろん、申請者がそのWebサイトの実運営者・団体に所属する者でなければならない、社印の印鑑証明なども必須とする、など発行に関しては厳しいルールを取り決められている」という。

 こうした努力によって、「3年後にはEV SSL証明書がサーバー証明のデファクトスタンダードになる」と同氏は語った。


 なお、アドレスバーを変色させるためにはユーザー側でいくつかの設定が必要となる。Internet Explorer(IE) 7に実装されている「フィッシングフィルター」機能とOCSP(Online Certificate Status Protocol)による証明書の正当性チェック機能のenable設定だ。

 この設定を怠ると、たとえIE 7でEV SSL証明書によって認証されたWebサイトにアクセスしても、アドレスバーは従来と同様に通常の色で表示されてしまう。通常表示の理由が、EV SSL証明書によって認証されていないからなのか、ユーザー側で必要な設定が行われていないからなのか、一目で分かるような仕組みはIE 7にも実装されてはいないので、ユーザーとしては若干の注意が必要となる。

 また、証明書の有効期限切れやルートの発行元が信頼できないWebサイトでは、現状ポップアップによる警告表示がなされているが、こうした場合、EV SSLではアドレスバーが赤色に変色される。「ヒューリスティックにより、アクセス先のWebサイトが既知のフィッシングサイトであると判明された場合も、同様に赤色になる。その場合、アドレスバーの右側には“Phishing Website”と明示される」(同氏)という。

 有効期限切れとなっているWebサイトや、自前で発行した証明書を利用しているWebサイトが特に多い国内においては、EV SSL証明書の技術は非常に有効なものになりそうだ。

 なお日本ベリサインでは、3月28日よりEV SSL証明書の発行を開始し、同社のWebサイトから申請を受け付けている。価格は1年間有効なもので17万100円から。同社のEV SSL証明書では、独自開発技術「ベリサイン EV Upgrader」を実装しているのが特徴。同技術によって、Windows XP上のIE 7でもアドレスバーを変色させることが可能になるとのこと。



URL
  日本ベリサイン株式会社
  http://www.verisign.co.jp/
  EV SSL証明書申請ページ
  http://www.verisign.co.jp/server/reg_ev/

関連記事
  ・ サイバートラストがEV SSLを説明-「鍵マークの信頼崩壊と同じ轍は踏まない」(2007/02/21)


( 川島 弘之 )
2007/04/12 18:45

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.