シマンテックは2017年3月27日、グーグルが提供するWebブラウザー「Chrome」にバグが見つかったことを明らかにした。EV SSL証明書を使っているWebサイトにアクセスした際、アドレスバーに組織名が表示されない場合があるという。影響を受けるのはバージョン57(Chrome 57)のみ。グーグルもこのバグを報告している。

 EV SSL証明書を使用しているWebサイトにChromeでアクセスすると、通常は、アドレスバーの左側に組織名が表示される。

EV SSL証明書のWebサイトにChromeでアクセスした例
EV SSL証明書のWebサイトにChromeでアクセスした例
[画像のクリックで拡大表示]

 ところが、使用しているEV SSL証明書によっては、組織名が表示されず「保護された通信」という文言のみが表示されるという。つまり、EV SSL証明書以外の証明書を使っているWebサイトと同じになる。シマンテックが発行したEV SSL証明書でも、このような表示になる場合があるとしている。

組織名が表示されず「保護された通信」と表示された例
組織名が表示されず「保護された通信」と表示された例
(出所:シマンテック)
[画像のクリックで拡大表示]

 シマンテックの情報によると、今回のバグは、証明書ポリシー(OID 2.5.29.32)が、「ポリシーID#1(2.23.140.1.1)、ポリシーID#2(2.16.840.1.113733.1.7.23.6)」の順序で記載されていると発生するという。

 シマンテックはChrome 57のバグに対処するために、3月24日以降に発行するEV SSL証明書では、証明書ポリシーの記載順序を「ポリシーID#2(2.16.840.1.113733.1.7.23.6)、ポリシーID#1(2.23.140.1.1)」に変更した。

 影響を受けるEV SSL証明書を使っている場合には、再発行するよう推奨している。