日々過ごすブログ

とりあえず文章を書いてみよう、というブログですね

NTTも他の企業もちゃんとEV-SSLを使えばいいのでは

こちらの記事。


NTT西日本の偽サイト出現、会員情報を入力しないように注意 - ITmedia エンタープライズ


最近よく話題になる、偽サイトを用意したフィッシングの話題である。ちょっと違和感を覚えたのが、記事の中で呼びかけられている偽サイトの見分け方が、サイト内のここの表示が違うだとか、正規のURLと違うだとか、細かいところに気をつけましょうね、という感じになっていること。これってそもそも、NTT WestがEV-SSL証明書を使えばほぼ解決する問題だと思う。


現在NTT WestのURLは、「https~」で始まっているので、SSLを使って通信しているわけだが、このときサイトのドメインが本物であることを確認するのに、SSL証明書というのを使用している。
要するに、「暗号化した通信をするのはいいが、通信している相手は本当に本人なの?」ということを、確認するための仕組みだ。
通常、このSSL証明書というのは、シマンテックやグローバルサインなんかのCA(認証局)と呼ばれる組織に申請して発行してもらうのだが、これには通常のSSL証明書の他に、EV-SSL証明書というよりグレードの高いものがある。
これも簡単に説明すると、「証明書は本物みたいだけど、そもそも証明書を使ってる組織は怪しくないの?」というツッコミへの答えとなる。
EV-SSLは審査がとても厳しい。
まず、少なくとも法人や団体として登記がなければならない。
他にも、自国以外からの申請に制限があったり、もろもろの資料を提出して相応の正当性があるかの審査を受けることになる。
こうすることで、「yahooo.co.jp」や「goggle.co.jp」なんていうドメインSSL証明書を取得し、セキュアな通信でフィッシングされてしまうのを防ぐ効果が期待できるのだ。


さて、EV-SSL証明書を使うと何が良いか、というと、何よりも視覚的に安全性がわかりやすいのが大きい。
現行のほとんどのブラウザにおいて、EV-SSL証明書SSL通信を行っている場合、アドレスバーに緑色のマークと団体名が出現する。
IE11だと、こんな感じだ。

NTT West(通常のSSL証明書)
f:id:tylerhandstone:20141115132609p:plain
JAL(EV-SSL証明書)
f:id:tylerhandstone:20141115132620p:plain

EVの事例がJALなのは偶然です。
これなら見落としにくい。もちろん、冒頭の記事にあるように、サイトの細部に注目していつもと違う個所を読み取れるようにすることも大切だが、例えばGoogleなんて予告なしにしょっちゅうサイトを改変しているわけで、コンテンツが更新される度にいちいちチェックするのが煩わしいのは確かだろう。
ついでに、ChromeFirefoxの例も載せておく(Operaは使ってないので、あしからず)

Google Chrome 38
f:id:tylerhandstone:20141115133258p:plainf:id:tylerhandstone:20141115133306p:plain

Firefox 33
f:id:tylerhandstone:20141115133405p:plainf:id:tylerhandstone:20141115133411p:plain

スマートフォンから見た場合はどうかというと、ちゃんと対応している奴としていないやつがいるみたい。
いつか別で記事にするかも。


なお、SSLについての詳しい説明はこの辺を参照のこと

Symantec SSLについて
http://www.symantec.com/ja/jp/page.jsp?id=how-ssl-works
Symantec EV-SSL証明書について
http://www.symantec.com/ja/jp/ssl-certificates/secure-site-pro-ev
EV-SSL証明書の導入についてのIT Mediaの記事
EV SSL証明書の基礎:5分で絶対に分かるEV SSL証明書 (1/6) - @IT