ブラウザがWebサイトのアイデンティティを検証し、偽者から保護する方法

あなたのブラウザが時々暗号化されたウェブサイト上にウェブサイトの組織名を表示することに気づいたことがありますか？これは、Webサイトに拡張検証証明書があり、Webサイトの身元が確認されたことを示す記号です。.

EV証明書は暗号化の強度を強化するものではありません - 代わりに、EV証明書はWebサイトの身元の広範な検証が行われたことを示します。標準のSSL証明書では、Webサイトの身元の確認はほとんど行われません。.

ブラウザによる拡張検証証明書の表示方法

拡張検証証明書を使用していない暗号化されたWebサイトでは、FirefoxはそのWebサイトが「（不明）で運営されている」と述べています。

Chromeは他に何も表示しないし、ウェブサイトの身元はウェブサイトの証明書を発行した認証局によって確認されたと言う.

拡張検証証明書を使用するWebサイトに接続しているとき、Firefoxはそれが特定の組織によって運営されていることを伝えます。このダイアログによると、VeriSignは、PayPal、Incが運営する本物のPayPal Webサイトに接続していることを確認しました。.

ChromeでEV証明書を使用するサイトに接続しているときは、組織の名前がアドレスバーに表示されます。情報ダイアログは、PayPalの身元がVeriSignによって拡張検証証明書を使って検証されたことを教えてくれます。.

SSL証明書に関する問題

何年も前、認証局は証明書を発行する前にWebサイトの身元を確認していました。認証局は、証明書を要求している会社が登録されていることを確認し、電話番号を呼び出して、その会社がWebサイトと一致する正当な操作であることを確認します。.

結局、認証局は「ドメインのみ」の証明書を提供し始めました。認証局が要求者が特定のドメイン（Webサイト）を所有していることを素早く確認するのはそれほど手間がかからなかったため、これらはより安価でした。.

フィッシャーは結局これを利用し始めました。フィッシャーはドメインpaypall.comを登録し、ドメインのみの証明書を購入する可能性があります。ユーザーがpaypall.comに接続すると、ユーザーのブラウザに標準のロックアイコンが表示され、誤った安心感が得られます。ブラウザは、ドメインのみの証明書と、Webサイトの身元のより詳細な検証を伴う証明書との違いを表示しませんでした.

Webサイトを検証するための認証局に対する公共の信頼が低下しています。これは、認証局が適切な注意を払わなかった一例にすぎません。 2011年、Electronic Frontier Foundationは、認証局が2000を超える "localhost"（常に現在のコンピュータを指す名前）の証明書を発行したことを確認しました。 （情報源）このような証明書を悪用すると、中間者攻撃が容易になる可能性があります。.

拡張検証証明書の違い

EV証明書は、認証局がWebサイトが特定の組織によって運営されていることを確認したことを示します。たとえば、フィッシャーがpaypall.comのEV証明書を取得しようとした場合、要求は拒否されます。.

標準のSSL証明書とは異なり、独立した監査に合格した認証局だけがEV証明書を発行できます。認証局/ブラウザフォーラム（CA /ブラウザフォーラム）、Mozilla、Google、Apple、およびMicrosoftなどの認証局およびブラウザベンダの自主的な組織は、拡張検証証明書を発行するすべての認証局が従う必要があるという厳格なガイドラインを発行します。これは理想的には認証局が彼らがより安い証明書を提供するために緩い検証プラクティスを使用する別の「底への競争」に従事することを防ぎます.

つまり、このガイドラインでは、認証局が証明書を要求している組織が正式に登録されていること、問題のドメインを所有していること、証明書を要求している人が組織に代わって行動していることを確認しています。これには、政府の記録をチェックし、ドメインの所有者に連絡し、そして組織に連絡して証明書を要求している人がその組織で働いていることを確認することが含まれます。.

対照的に、ドメインのみの証明書の検証では、登録者が同じ情報を使用していることを検証するために、ドメインのwhoisレコードを見るだけで済みます。 「localhost」のようなドメインに対する証明書の発行は、一部の認証局がそれほど検証を行っていないことを意味します。 EV証明書は、基本的に、認証局での一般の信頼を回復し、詐欺師に対するゲートキーパーとしての役割を回復しようとする試みです。.