beroの日記: SSL/実在証明SSL/EV-SSL証明書の本当の違い 2
証明書そのものを見てみる。
* ドメイン認証SSL
証明書詳細のSubject(サブジェクト)で
CN = ドメイン名
O = ドメイン名
ドメイン名(サーバ名)を証明している。
* 実在証明SSL
証明書詳細のSubjectで
CN = ドメイン名
O = 組織名
L = 市区町村(locality)
ST = 県(stateOrProvince)
C = 国
OU = 部門名のはずだが適当な値が入ってることが多い
(さらに追加パラメータで町名や番地があることも)
組織を証明している。
なおかつ、Extensons(拡張)のCertificate Policies(証明書ポリシー)に
証明書ポリシーOID(と参照URL)がある
* EV-SSL
実在証明SSLと同じだが、証明書ポリシーOIDがブラウザに登録されている。
---
ただのSSLと実在証明SSLの違いは、
証明書のSubjectにある組織名と所在地を見て、なおかつ証明書ポリシーを読んで何をどう証明しているか確認して、実在証明していることがわかる。
(OU=部門は証明していないこともわかる)
これでは殆どの利用者には区別できないので、SSL証明書とは別に、特別なサイトシールを貼る権利を与えることで区別できるような運用でカバーしているが、これ(SSLサイトシールと実在証明SSLサイトシールの違い)すら殆どの利用者には区別できないのが現状である。
そこで、
(信頼できる認証局を予めブラウザに登録して、証明書の信頼性をいちいち確認しなくて良いのと同様に、)
信頼できる実在証明方法(証明書ポリシー)を予めブラウザに登録して、実在証明の信頼性をいちいち確認しなくて良いようにしたのがEV-SSLである。
例:(証明書ポリシーを日本語で書いてあるセコムトラストのもの)
- 実在証明SSL
Not Critical
1.2.392.200091.100.701.2:
Certification Practice Statement pointer:
https://repo1.secomtrust.net/spcpp/pfw/pfwca/
- EV-SSL
Not Critical
1.2.392.200091.100.721.1:
Extended Validation (EV) SSL Server Certificate
Certification Practice Statement pointer:
https://repo1.secomtrust.net/spcpp/pfw/pfwevca/
ポリシーの内容は事実上同じに見えるが、第三者機関の監査(WebTrust for EV等)を受けているかどうかが異なる。
監査に通ったものはブラウザに登録されており、区別して緑で表示される。
(実在証明SSLもポリシー通りであることは第三者機関の監査(WebTrust For CA等)を受けているが、そのポリシーにどのような証明が含まれるかは自分で確認しないとわからない)
firefoxでは
security/manager/ssl/nsIdentityChecking.cppに埋め込まれている
// OU=Security Communication EV RootCA1,O="SECOM Trust Systems CO.,LTD.",C=JP
"1.2.392.200091.100.721.1",
"SECOM EV OID",
Re: SSL/実在証明SSL/EV-SSL証明書の本当の違い (スコア:2)
すばらしいです(^^)
ブラウザに「信頼できる認証局」として登録されている認証局なら、CPSに従って認証局が運営されているという外部監査を受けています。ドメイン認証の場合は外部監査を受けていないような感じになっていますが、ドメイン認証でも実在認証でもどちらの場合でもCP/CPSに明示されていると言えます。
助かります (スコア:1)