少なくとも、ベリサインはサーバ証明書として実在性を確認していない証明書は発行していませんし、またベリサインのCP/CPSは非常に緻密で十分に信頼に値すると思います。 確かに個人として購入するには高額では有りますが、その運営体制、知名度や安心感といった「ブランド力」を踏まえれば、それが重要であると考える人にはそれだけの価値は有ります。

そんなものには何の意味もありませんよ。誰も確認できませんから。
（その点 EV SSL なら意味がありますが。）

> そんなものには何の意味もありませんよ。誰も確認できませんから。

CP/CPSは誰でも確認できます。
またブラウザの「信頼できる認証局」に標準で登録されるためには、WebTrust for CAに準拠する必要が有り、それには監査会社による定期的な外部監査が求められる事になっています。
誰も確認できないというのは誤りです。

これらの枠組みは、現在の情報セキュリティの基準として頻繁に登場するBS7799に遡る事ができます。それに意味が有ると感じるか意味が無いと感じるかは本人の主観に依存しますが、「何の意味もありません」と断言する理由が「誰も確認できません」という誤った認識に基づくのなら、ちょっと勉強不足ではないでしょうか。

「ブランド力」に価値が有るかどうかは主観に基づくと思います。
しかし販売する商品自体に差異が無いのならば、それらの商品を差別化する最終的な条件が「ブランド」であるという事を知るべきでしょうね。もちろんブランドが力を持つ事ができるのは、そのブランドを確立するまでの実績が有る事は言うまでも有りません。

> （その点 EV SSL なら意味がありますが。）

なぜEV-SSL証明書なら意味が有るのですか?

EV-SSLは認証方式が標準化されているので、EV-SSLならどの認証局でも同じ認証基準で発行されているのですよ。それこそベリサインでなければならない理由は有りません。

第一、既にきちんと実在性を確認した証明書を使っているのなら、通常のSSL証明書でも相手を確認する手段として十分に条件を満たしています。ベリサインの通常の証明書でも高額すぎるという主張であるにも関わらず、それより遥かに高額なEV-SSLなら良いというのは全く理解できません。

> そんなものは普通の利用者は確認しないし確認しろと言っても無理です。あなたはここの議論で、実際の運用の現実性も主張の根拠にしているのではありませんでしたか？

はい、仰るとおりです。しかしそれは議論の争点とは何ら関係が有りません。

サーバ証明書が

・意味のない商品(#1481277 [srad.jp])
・必要以上に一般人の不安を煽り、導入していないのは悪だ無謀だとの認識を広め(#1481316 [srad.jp])
・導入せずとも安全(#1481316 [srad.jp])
・普通の技術仕様を満たした鍵をかけておけば空き巣被害を防げる(#1481763 [srad.jp])
・(ベリサインが実在性認証された証明書しか発行していない事、CP/CPSの内容も緻密で信頼に値する事、「ブランド力」が重要であると考える人には価値が有るという事に対して)何の意味もありませんよ。誰も確認できませんから(#1482008 [srad.jp])

という物であるという主張に対する反論ですので、CP/CPSの難解さは全く関係が有りません。
逆に言えば、CP/CPSが難解である事はこれらの主張を肯定する理由にはなりません。

> それらはCAをルートに登録するのを決定するブラウザベンダや、その正しい運用状況を監視する一部の特別ユーザにとって可能になっていることに意味があるものです。

いいえ、それは違います。

然るべき資格を有した第三者による監査を実施するのは、直接の利害関係者だけに意味が有るものではなく、その監査の結果として認定される事柄を利用する全ての人に意味が有る物です。それはWebTrustのような情報セキュリティの監査だけではなく、会計監査やISO関連の監査でも同様に言える事です。

> 一般の利用者が区別しないのですから何の意味もありません。

いいえ、「一般の利用者が区別しない」のではなく「貴方が区別しない」のです。貴方は一般の利用者を代表しません。
また何らかの方法で認証局を区別する事は情報セキュリティの観点からも十分に意味が有る事です。なぜなら、サーバ証明書の信頼度は証明書を発行した認証局の信頼度を超える事は有り得ないからです。自分が信頼していない認証局が発行した証明書を避けるのはPKIを正しく認識した行動と言えますし、少なくとも「区別しない」事は推奨される事では有りません。

またサーバ証明書を利用したページを参照する利用者(検証者)が認証局を区別するかしないかは一概には言えませんが、少なくともサーバ証明書の登録者が、検証者が認証局を区別する可能性を踏まえて、登録先の認証局を区別し選択するのは一般的と言って良いです。サーバ証明書の対象サーバで取り扱う情報が高価であればなおさらの事です。

貴方が認証局を区別しない事は全く否定しませんが、認証局を区別する事が「意味が無い」と思うのは、一般論として通用する話ではなく、貴方の主観に過ぎないと知るべきです。サーバ証明書の市場占有率にそれは現れています。

> 一般の利用者が区別するからです。ブラウザが偽装不能な方法でアドレスバーに緑色で常時表示するからです。

ブラウザは通常のSSL証明書とEV-SSL証明書を区別しますが認証局を区別しません。

> その通りで、認証局にブランド価値があるかのように誤解させる詐欺まがい商法の横行が、EV SSLの登場で粉砕されるのは世の中皆にとって良いことです。

EV-SSLで認証局を区別する事は「意味が有る事」なのですか?
EV-SSLで認証局を区別する事が「粉砕されるのは世の中皆にとって良いこと」なのですか?
「意味が有る事」であるにも関わらず「粉砕されるのは世の中皆にとって良いこと」というのは、一体どういう論理なのか、支離滅裂で何を主張しているのか全く理解できません。

それとも通常のSSL証明書は「意味が無い事」であり、EV-SSL証明書は「意味が有る事」だという主張ですか?
しかしEV-SSL証明書を発行できる認証局は、通常のSSL証明書を発行できる認証局より、遥かに厳格な運営と設備が必要となります。EV-SSL証明書を発行できる一部の体力の有る認証局だけに選択肢は限られてきますし、通常のSSL証明書より遥かに高額な証明書ですから、より「ブランド力」は重視されるでしょう。仮にEV-SSL証明書が採算に合うとしたら、ベリサインだけになるように感じます。

もし、実在性認証された通常のSSL証明書は「意味が無い事」であり、EV-SSL証明書は「意味が有る事」であると貴方が感じているのなら、それこそ「EV-SSLに価値があるかのように誤解させる詐欺まがい商法の横行」が有るのではないかと感じますね。