Webブラウザ別、SSLサーバ証明書の安全チェック方法（フィッシング対策協議会）

フィッシング対策協議会は、「各ブラウザによる SSL サーバー証明書の表示の違い」について発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

121 views

2018.3.28 Wed 9:00

フィッシング対策協議会は3月27日、「各ブラウザによる SSL サーバー証明書の表示の違い」について発表した。SSL / TLS サーバー証明書（サーバー証明書）には3つのタイプがあり、審査や発行の際に確認する情報の多さ、深さなど、プロセスに違いがある。

具体的には、ドメイン名の登録権のみを確認して発行する「DV（ドメイン認証型、Domain Validation）証明書」、ドメイン名の登録権の他に、Webサイトの運営組織が実際に存在するかどうか、証明書の申請者がその組織に所属するかを審査した上で発行する「OV（組織認証型、Organization Validation）証明書」、OV証明書よりも厳格な審査（組織の法的な登録の確認など）を基に発行する「EV（EV認証、Extended Validation）証明書」がある。

ブラウザによって、証明書が有効であるかについての表示に違いがあり、同協議会ではその違いについて、ブラウザのアドレスバーのキャプチャで説明している。DV証明書とOV証明書には大きな差はなく、EV証明書については証明書を取得した組織名が表示され、そのサイト運営者との照合が容易になっている。

しかし、Android版の「Chrome」に関しては、DV、OV、EV ともにサーバー証明書による差はなく、アドレスバーの表示だけではどのサーバー証明書を使っているのか判断できない。また、これらの表示結果は、現状では各ブラウザによる独自の仕様であり、数カ月後あるいは数日後に表示が変わっている可能性がある。

同協議会の証明書普及促進ワーキンググループでは今後、定期的にこのアドレスバーの表示について情報を発信していくとしている。なお、サイト運営者について確認される情報が少なく、手続きも比較的容易なDV証明書を攻撃者が悪用目的で取得し、なりすましやフィッシングに使用するケースも確認されており、注意を呼びかけている。