Webブラウザ別、SSLサーバ証明書の安全チェック方法(フィッシング対策協議会)
フィッシング対策協議会は、「各ブラウザによる SSL サーバー証明書の表示の違い」について発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
具体的には、ドメイン名の登録権のみを確認して発行する「DV(ドメイン認証型、Domain Validation)証明書」、ドメイン名の登録権の他に、Webサイトの運営組織が実際に存在するかどうか、証明書の申請者がその組織に所属するかを審査した上で発行する「OV(組織認証型、Organization Validation)証明書」、OV証明書よりも厳格な審査(組織の法的な登録の確認など)を基に発行する「EV(EV認証、Extended Validation)証明書」がある。
ブラウザによって、証明書が有効であるかについての表示に違いがあり、同協議会ではその違いについて、ブラウザのアドレスバーのキャプチャで説明している。DV証明書とOV証明書には大きな差はなく、EV証明書については証明書を取得した組織名が表示され、そのサイト運営者との照合が容易になっている。
しかし、Android版の「Chrome」に関しては、DV、OV、EV ともにサーバー証明書による差はなく、アドレスバーの表示だけではどのサーバー証明書を使っているのか判断できない。また、これらの表示結果は、現状では各ブラウザによる独自の仕様であり、数カ月後あるいは数日後に表示が変わっている可能性がある。
同協議会の証明書普及促進ワーキンググループでは今後、定期的にこのアドレスバーの表示について情報を発信していくとしている。なお、サイト運営者について確認される情報が少なく、手続きも比較的容易なDV証明書を攻撃者が悪用目的で取得し、なりすましやフィッシングに使用するケースも確認されており、注意を呼びかけている。
関連記事
この記事の写真
/
