2007.04.23 Monday
EV SSL証明書って...
ベリサインの中間CA証明書ってセキュアとグローバルの二つあったのね。
IE からは繋がるんですが Firefox や Opera で警告画面が出てプチハマりしてましたが, セキュア用の中間CA証明書を指定してやれば無事解決しました。
それはさておき, 今は EV SSL証明書なんてものがあるみたいですね。
EV(Extended Validation) SSL は従来の SSLサーバの証明書の信頼性をさらに高め, 確実なサイト認証を可能にする, とあります。
SSL証明書を申請する組織の存在確認はそれぞれの認証局ごとに異なっていたので, そのプロセスを統一してより組織の存在性を確実なものとするのが趣旨のようです。
SSL証明書の目的は,
1. 通信の暗号化
2. 組織の存在性の証明
がありますが, 認証局による組織の存在性の確認がテキトーでフィッシングサイトに正規の証明書を発行してしまった事例があったようで...
証明書が安くてもこれじゃぁ全く意味がありませんねぇ。
IE からは繋がるんですが Firefox や Opera で警告画面が出てプチハマりしてましたが, セキュア用の中間CA証明書を指定してやれば無事解決しました。
それはさておき, 今は EV SSL証明書なんてものがあるみたいですね。
EV(Extended Validation) SSL は従来の SSLサーバの証明書の信頼性をさらに高め, 確実なサイト認証を可能にする, とあります。
SSL証明書を申請する組織の存在確認はそれぞれの認証局ごとに異なっていたので, そのプロセスを統一してより組織の存在性を確実なものとするのが趣旨のようです。
SSL証明書の目的は,
1. 通信の暗号化
2. 組織の存在性の証明
がありますが, 認証局による組織の存在性の確認がテキトーでフィッシングサイトに正規の証明書を発行してしまった事例があったようで...
証明書が安くてもこれじゃぁ全く意味がありませんねぇ。
EV SSL はその組織認証の部分を, CA/ブラウザフォーラムによって策定された EV SSL認証のガイドラインに従って発行することで,確実に企業が存在することを保証しましょう, と。
また, EV SSL証明書に含まれる OID を検知してブラウザのアドレスバーを緑色にすることで, ユーザとってより直感的に安全性を判別できるようになる, と。
簡単に言うと, EV SSL証明書は認証プロセスの統一/厳密化とアドレスバーを緑色にする機能を持った証明書といったところですか。
そうすると既存の証明書の信頼性というのはどうなるのだろう。
“SSLサーバの証明書の信頼性をさらに高め, より確実なサイト認証を可能にする”という定義はすごく曖昧に感じる。
既存の証明書の安全性はユーザが判断しなければならない?
となると正規の証明書も疑ってかからないといけないのか?んなバカな。
認証局の怠慢がきっかけで起こったことで何でこんなにユーザが振り回されないといけないのか...全く釈然としない。
アドレスバーを緑色にするってのもなんだかなぁ, という感じ。
アドレスバーなんてウィルスか何かで簡単にいじれそうな気がするんですが...
ぱっと見たところ EV SSL証明書のサービスは ベリサインや cybertrust で既に始まっているようです。(ジオトラストやセコムはまだ対応していない?)
が, ベリサインの値段が高すぎる!
通常の証明書に比べて 2倍弱の値段。
1年で 15万〜20万って...(゚Д゚)アホか!
元々認証局のせいで証明書の信頼をくずしたんだから(直接ベリサインのせいじゃないにしろ), 通常の証明書の値段と同じにするのが道義じゃないすか。
というかむしろ通常の証明書をやめて, 今までの通常の証明書の価格で EV SSL証明書を作るぐらいしてくれてもよいのではないかと。
近い将来, EV SSL証明書じゃないと安全だとみなされない風潮ができてしまうんでしょうかねぇ。
<参考>
・日本ベリサイン中間CA証明書
・ベリサイン EV SSL証明書
・cybertrust EV SSL証明書について
また, EV SSL証明書に含まれる OID を検知してブラウザのアドレスバーを緑色にすることで, ユーザとってより直感的に安全性を判別できるようになる, と。
簡単に言うと, EV SSL証明書は認証プロセスの統一/厳密化とアドレスバーを緑色にする機能を持った証明書といったところですか。
そうすると既存の証明書の信頼性というのはどうなるのだろう。
“SSLサーバの証明書の信頼性をさらに高め, より確実なサイト認証を可能にする”という定義はすごく曖昧に感じる。
既存の証明書の安全性はユーザが判断しなければならない?
となると正規の証明書も疑ってかからないといけないのか?んなバカな。
認証局の怠慢がきっかけで起こったことで何でこんなにユーザが振り回されないといけないのか...全く釈然としない。
アドレスバーを緑色にするってのもなんだかなぁ, という感じ。
アドレスバーなんてウィルスか何かで簡単にいじれそうな気がするんですが...
ぱっと見たところ EV SSL証明書のサービスは ベリサインや cybertrust で既に始まっているようです。(ジオトラストやセコムはまだ対応していない?)
が, ベリサインの値段が高すぎる!
通常の証明書に比べて 2倍弱の値段。
1年で 15万〜20万って...(゚Д゚)アホか!
元々認証局のせいで証明書の信頼をくずしたんだから(直接ベリサインのせいじゃないにしろ), 通常の証明書の値段と同じにするのが道義じゃないすか。
というかむしろ通常の証明書をやめて, 今までの通常の証明書の価格で EV SSL証明書を作るぐらいしてくれてもよいのではないかと。
近い将来, EV SSL証明書じゃないと安全だとみなされない風潮ができてしまうんでしょうかねぇ。
<参考>
・日本ベリサイン中間CA証明書
・ベリサイン EV SSL証明書
・cybertrust EV SSL証明書について
Comments