Extended Validation 証明書

Extended Validation 証明書 ^{[注 1]} (EV 証明書とも) とは、発行者による主体者の審査に一定の基準を設けた公開鍵証明書である。ウェブサイトの認証と暗号化処理に使われるSSL/TLS (以下、単にSSL) サーバー用の公開鍵証明書 (この場合、単にEV SSL証明書とも) のほか、電子メールやコード・サイニング用の公開鍵証明書がある。本記事では以下、SSL用の証明書を中心に記述している。

概要

SSLの元来の考え方は、SSL証明書の取得時にウェブサイトの管理者が認証局 (CA) の審査を経なければならなくすることで、デジタル証明書によるオンライントランザクションに信頼を与えることであった。

しかし、ほとんどのWebブラウザのユーザインタフェースにおいては、安直な確認をした証明書と厳格な審査をした証明書とが区別されてこなかったため、混乱が生じることとなった。多くのWebブラウザではSSLで接続出来た場合に南京錠のアイコンが表示されるだけで、そのウェブサイトの持ち主がきちんと審査されたのかどうかは明確には判らなかった。その結果、フィッシングサイトなど、悪意ある者たちによって自分のウェブサイトが信頼出来るものであるかのように見せかけるためにSSLが使われ始めるようになった。

EV SSL証明書は、次の点において利用者の信頼を回復することを目的としている。

認証
同定
暗号

EVの指針を策定したのは、先行した認証局、インターネットソフトウェアやその他アプリケーションのベンダー、法律や監査の専門家らによって自発的組織として結成された CA/Browser Forum である。

独立した監査によりWebTrust指針（もしくはそれと同等）の認定の一部を満たしたCAだけがEV SSL証明書の発行を許される。EV証明書は以下のような詳細な発行要件に従って発行される。

ウェブサイト所有者が運用上および物理的に実在しているだけでなく、法的実在性も確立されていること
ウェブサイト所有者により、該当URLに対する排他的な制御が確立されていること
ウェブサイト所有者のための作業者の同定と責任、および、責任ある役員によって署名された法的義務を伴う文書の確認

利用者にとっての利点は、最新のWebブラウザを使った場合に、従来のSSL証明書より多くの情報をEV SSL証明書から取得して確認できることである。マイクロソフトのInternet Explorerは、バージョン7で初のEV対応Webブラウザとなった。その後、主要なWebブラウザはEVに対応している。Internet Explorer 7ではEV証明書が検出されると、

アドレスバーが緑色になる。
ウェブサイト所有者の名称や所在地の要約と、証明書を発行したCA名が交互に表示される専用のラベルが現れる。

なお、EV未対応のWebブラウザでは通常のSSLサイトとして表示されるため、互換性は保たれる。

Extended Validation (EV) の指針では、参加するCAに対するEV識別子の割当が要求されている。この識別子は、独立した監査の完了とその他の条件の成立後に、EVをサポートするWebブラウザのベンダーに登録される。

なおEV SSLにおいては、URLの正当性をCAが担保する目的から、通常のSSLで使われるようなワイルドカード証明書の発行は認められず、仮にそのような証明書を無理に発行したとしても、Webブラウザ側で受け入れを拒否される^[1]。ただInternet Explorerにおいては、かつてワイルドカードを使用したEV SSL証明書を受け入れてしまう脆弱性が存在した^[2]。

上記のようにEV SSLはウェブサイト所有者の身元確認を強化したものだが、ウェブサイトの安全性を保障するものではない。所有者が悪意を持っているかもしれないし、ウェブサイトが第三者から乗っ取られる可能性も存在する。

対応ウェブブラウザ

主要ウェブブラウザにおけるEV SSLの対応状況は以下の通りである^[3]。

Google Chrome：1.0以降
Firefox：3.0.0以降
Internet Explorer：7.0以降
Opera：9.5以降
Safari：3.2以降

EV証明書表示位置の移動

セキュリティ研究者の調査により、アドレスバー上のEV証明書の緑色や組織名表示は、フィッシング等に対して利用者が安全な選択をするための意味のある保護対策とならないことが分かった^[4]。そのためいくつかのブラウザはEV証明書表示をアドレスバーからページ情報へ移動している。

Google Chrome : 77.0以降^[5]
Firefox : 70以降^[6]

Edgeについてもマイクロソフトは、ウェブページが正当なものかを判断する際、EV証明書の緑色のバーの効果は限定的であるとしており^[7]、バージョン44.17763時点でEV証明書であっても緑色で組織名が表示されるものとそうでないものがある。

EV証明書の実装および特定

EV証明書の機能は、インターネット向け公開鍵基盤におけるポリシー機能^[8]^{[注 2]}を用いて実装されている。具体的には、EV証明書の発行者はEV証明書であることを示すためのポリシーOIDを定義し、EV証明書および推移的を含めこれに署名する全ての証明書に対してそのポリシーOIDを付加する。^{[注 3]}EV証明書の検証処理にあっては、従来通りトラストアンカーからEV証明書に至るまで有効な署名のチェーンが存在することを確認した後、追加処理としてEV証明書であることを示すポリシーOIDがチェーンに含まれる全ての証明書に与えられていることを確認する。^{[注 4]}もしチェーン中に求められるポリシーOIDを持たない証明書が1つでもあった場合、EV証明書としてのポリシー検証は失敗する。

EV証明書を示すポリシーOIDはIETFやEV証明書発行者のコミュニティなどに依る統一的な定義はなく、各発行者が個別にOIDやその適用基準を定めている。それらは発行者の認証運用規程（英語版）（CPS）にて文書化される。以下に、代表的なEV証明書発行者、それらが採用しているOIDおよびCPSを示す。

発行者	OID	CPS
AffirmTrust	`1.3.6.1.4.1.34697.2.1 1.3.6.1.4.1.34697.2.2 1.3.6.1.4.1.34697.2.3 1.3.6.1.4.1.34697.2.4`	AffirmTrust CPS v1.1, p. 4
A-Trust	`1.2.40.0.17.1.22`	a.sign SSL EV CPS v1.3.4
Buypass（英語版）	`2.16.578.1.26.1.3.3`	Buypass Class 3 EV CPS, p. 10
Camerfirma	`1.3.6.1.4.1.17326.10.14.2.1.2 1.3.6.1.4.1.17326.10.8.12.1.2`	Camerfirma CPS v3.2.3
Comodo Group（英語版）	`1.3.6.1.4.1.6449.1.2.1.5.1`	Comodo EV CPS, p. 28
DigiCert	`2.16.840.1.114412.2.1 2.16.840.1.114412.1.3.0.2`	DigiCert EV CPS v. 1.0.3, p. 56
DigiNotar（英語版）（現存せず^[9]）	`2.16.528.1.1001.1.1.1.12.6.1.1.1`	DigiNotar CPS v 3.5, p. 2
E-Tugra	`2.16.792.3.0.4.1.1.4`	E-Tugra Certification Practice Statement (CPS), p. 2
Entrust	`2.16.840.1.114028.10.1.2`	Entrust EV CPS, p. 37
ETSI	`0.4.0.2042.1.4 0.4.0.2042.1.5`	ETSI TS 102 042 V2.4.1, p. 18
Firmaprofesional	`1.3.6.1.4.1.13177.10.1.3.10`	SSL SECURE WEB SERVER CERTIFICATES, p. 6
GeoTrust	`1.3.6.1.4.1.14370.1.6`	GeoTrust EV CPS v. 2.6, p. 28
GlobalSign	`1.3.6.1.4.1.4146.1.1`	GlobalSign EV CPS v. 6.5, p. 24
GoDaddy	`2.16.840.1.114413.1.7.23.3`	GoDaddy EV CPS v. 2.0, p. 42
Izenpe	`1.3.6.1.4.1.14777.6.1.1`	DOCUMENTACIÓN ESPECÍFICA PARA CERTIFICADOS DEL TIPO: SERVIDOR SEGURO SSL, SERVIDOR SEGURO EVV, SEDE ELECTRÓNICA Y SEDE ELECTRÓNICA EV,
Kamu Sertifikasyon Merkezi	`2.16.792.1.2.1.1.5.7.1.9`	TÜBİTAK BİLGEM Kamu Sertifikasyon Merkezi SSL Sİ/SUE
Keynectis	`1.3.6.1.4.1.22234.2.5.2.3.1`	KEYNECTIS EV CA CPS v 0.3, p. 10
Network Solutions	`1.3.6.1.4.1.782.1.2.1.8.1`	Network Solutions EV CPS v. 1.1, 2.4.1
QuoVadis	`1.3.6.1.4.1.8024.0.2.100.1.2`	QuoVadis Root CA2 CP/CPS, p. 34
SECOM Trust Systems	`1.2.392.200091.100.721.1`	SECOM Trust Systems EV CPS (in Japanese), p. 2
Starfield Technologies（英語版）	`2.16.840.1.114414.1.7.23.3`	Starfield EV CPS v. 2.0, p. 42
StartCom Certification Authority	`1.3.6.1.4.1.23223.2 1.3.6.1.4.1.23223.1.1.1`	StartCom CPS, no. 4
Swisscom	`2.16.756.1.83.21.0`	Swisscom Root EV CA 2 CPS (in German), p. 62
SwissSign	`2.16.756.1.89.1.2.1.1`	SwissSign Gold CA-G2 CP/CPS, p. 7
Thawte（英語版）	`2.16.840.1.113733.1.7.48.1`	Thawte EV CPS v. 3.3, p. 95
Trustwave	`2.16.840.1.114404.1.1.2.4.1`	SecureTrust EV CPS v1.1.1, p. 5
VeriSign	`2.16.840.1.113733.1.7.23.6`	VeriSign EV CPS v. 3.3, p. 87
Verizon Business（旧Cybertrust）	`1.3.6.1.4.1.6334.1.100.1`	Cybertrust CPS v.5.2, p. 20
Wells Fargo	`2.16.840.1.114171.500.9`	WellsSecure PKI CPS v. 12.1.2, p. 14
WoSign	`1.3.6.1.4.1.36305.2`	WoSign CPS V1.2.4, p. 21

* 旧XRamp Security Services, Inc.

出典

^ Why can’t I get a Wildcard Extended Validation (EV) SSL Certificate? - Network Solutions
^ CVE-2014-2783 - National Vulnerability Database
^ “緑色のバーの表示について”. シマンテック. 2014年7月29日閲覧。
^ “EV UI Moving to Page Info”. The Chromium Projects. 2019年9月17日閲覧。
^ “Upcoming Change to Chrome's Identity Indicators”. The Chromium Projects. 2019年9月17日閲覧。
^ “Bug 1572936 - Move EV cert UI out of URL Bar”. Mozilla Firefox. 2019年9月17日閲覧。
^ “Security and privacy”. Microsoft. 2019年9月17日閲覧。
^ Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (英語). May 2008. doi:10.17487/RFC5280. RFC 5280。
^ "VASCO Announces Bankruptcy Filing by DigiNotar B.V." (Press release). VASCO. 20 September 2011. 2015年1月29日閲覧。

脚注

^ この validation という用語は、証明書関連でしばしば登場する Certification path validation algorithm と紛らわしいが異なるものであるので注意。
^ RFC3647に定められている、あるCAの証明書発行基準などを定義する証明書ポリシー（英語版）とは異なる。
^ ルートやそれに近いCAにあっては、ワイルドカードとして利用できるanyPolicyをポリシーとして付加することにより、より下位のCAやEV証明書にて具体的に与えるポリシーOIDから影響を受けない運用が可能である。
^ この検証手順はEV証明書に限ったものではなく、インターネット向け公開鍵基盤上でポリシーを検証するためにRFC5280が一般的に要求する挙動である。ゆえに、同RFCに準拠した実装上ではポリシーの追加検証をアプリケーション側から指図することを除き、特に修正を加えることなく利用可能な機能である。

外部リンク

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[2] Why can’t I get a Wildcard Extended Validation (EV) SSL Certificate? - Network Solutions

[3] CVE-2014-2783 - National Vulnerability Database

[4] “緑色のバーの表示について”. シマンテック. 2014年7月29日閲覧。

[5] “EV UI Moving to Page Info”. The Chromium Projects. 2019年9月17日閲覧。

[6] “Upcoming Change to Chrome's Identity Indicators”. The Chromium Projects. 2019年9月17日閲覧。

[7] “Bug 1572936 - Move EV cert UI out of URL Bar”. Mozilla Firefox. 2019年9月17日閲覧。

[8] “Security and privacy”. Microsoft. 2019年9月17日閲覧。

[9] Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (英語). May 2008. doi:10.17487/RFC5280. RFC 5280。

[vasco-bankruptcy-13] "VASCO Announces Bankruptcy Filing by DigiNotar B.V." (Press release). VASCO. 20 September 2011. 2015年1月29日閲覧。

[1] この validation という用語は、証明書関連でしばしば登場する Certification path validation algorithm と紛らわしいが異なるものであるので注意。

[10] RFC3647に定められている、あるCAの証明書発行基準などを定義する証明書ポリシー（英語版）とは異なる。

[11] ルートやそれに近いCAにあっては、ワイルドカードとして利用できるanyPolicyをポリシーとして付加することにより、より下位のCAやEV証明書にて具体的に与えるポリシーOIDから影響を受けない運用が可能である。

[12] この検証手順はEV証明書に限ったものではなく、インターネット向け公開鍵基盤上でポリシーを検証するためにRFC5280が一般的に要求する挙動である。ゆえに、同RFCに準拠した実装上ではポリシーの追加検証をアプリケーション側から指図することを除き、特に修正を加えることなく利用可能な機能である。

[注 1]

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[注 2]

[注 3]

[注 4]

[9]

Extended Validation 証明書

概要

対応ウェブブラウザ

EV証明書表示位置の移動

EV証明書の実装および特定

出典

脚注

関連項目

外部リンク