図 EV-SSL証明書を使ったサーバー認証
図 EV-SSL証明書を使ったサーバー認証
[画像のクリックで拡大表示]

 インターネットで買い物をする際,ブラウザに表示される錠前マークの有無で,SSL(secure sockets layer)が使われているかどうかを確認することは一般的になってきた。SSL通信では,暗号通信するにあたってWebサーバーがクライアントに「サーバー証明書」と呼ばれるデータを送る。クライアントはこの証明書を使って,通信相手のサーバーが信頼できるかどうかを検証する。

 ところが今,SSLで使われるサーバー証明書の信頼性が低下している。認証局がサーバー証明書を発行するときは,利用者を審査したうえで発行する。しかしその審査内容は,認証局によってまちまちである。そのため,審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増えている。「SSLを使っているから安心」と思っていたら,実はそのWebサイトがフィッシング・サイトだったということが起こっているのだ。

 こうした現状を受けて,認証局とWebブラウザのベンダーで構成する業界団体「CA/Browserフォーラム」では,利用者の身元情報などをより厳格に審査をしたうえで証明書を発行する「EV(extended validation)証明書ガイドライン」を策定した。ガイドラインでは,企業の実在性の確認,ドメイン名情報の確認,担当者の権限の確認,書面での署名・なつ印の実施など,審査項目を細かく定めている(図)。このような厳しい審査をクリアした企業だけに発行するようにしたのがEV-SSL証明書である。

 発行されたEV-SSL証明書には,それがEV-SSL証明書であることを示す認証局ごとの識別子情報が記述される。Webブラウザは,この識別子情報をチェックして,証明書がEV-SSL証明書であることを認識する。

 2007年6月時点では,Internet Explorer7(IE7)がEV-SSL証明書に対応している。IE7がEV-SSL証明書を受け取ると,ブラウザ画面のアドレス欄が緑色に変わる。さらに,証明書の利用組織名と認証局名が交互に表示され,どんな組織がどの認証局の審査を受けた証明書なのかが一目でわかるようになっている。EV-SSL証明書は,Webショッピングを提供する企業などから利用が進んでいきそうだ。