常時SSL Lab.編集部本記事には古い情報が含まれている可能性があります。
2019年9月以降、各ブラウザのEV証明書のアドレスバー表示は変更されており、
本記事に掲載されている表示とは異なっている場合がありますので、ご注意ください。
『突然「保護されていません」と警告が!?Chromeの新しい安全性表示』の Google Chrome の警告表示が皮切りとなり、2017年に入ってから常時SSLという言葉を意識する機会が急増しています。
Googleのレポート『HTTPS encryption on the web』でも、HTTPSによるトラフィックや利用率などが右肩上がりになっており、Webサイトの常時SSL化が急速に進んでいることがわかります。
世界的な風潮に加えて、無料のドメイン認証(DV)のSSLサーバー証明書が簡単にインストールできるサーバーなどが登場し、導入障壁が劇的に低くなった、というのも理由の一端として挙げることができるでしょう。
そこで今回は、ドメイン認証(DV)のSSLサーバー証明書が無料で手軽に導入できるようになった今だからこそ、企業認証(OV)やEVの重要性を考えてみました。
ドメイン名とWebサイト表示の問題点
1つの例を見てみましょう。
フィッシングサイトの実例を集めたWebサイト『Phishibank – Phishing Web Sites』
※ 当該Webサイトはフィッシングサイトの画面ショット/紹介テキストだけで構成されており安全ですが、掲載されているフィッシングサイトには絶対にアクセスしないでください。
紹介されているWebサイトの画面ショットを見ると、本物と見紛うクオリティです。
また、ドメイン名はかなり嘘っぽいですが、ほとんどすべてのWebサイトがSSLサーバー証明書によるHTTPS通信で提供されていることがわかります。
最大の問題点はここで、あまり詳しくない人なら、アドレスバーに「保護された通信」と表示されているだけで安全と誤解し、ドメイン名などを確認することなくユーザー名・パスワードを入力、それらを盗み取られてしまう危険性があります。
暗号化通信の問題点
HTTPSでの通信の最大の目的でありメリットは、通信経路上でハッカーなどによるデータの盗聴を防ぐことにあります。
ただ、違う見方をすると、HTTPSの通信ではデータの良し悪しは関係なく、ウイルス/マルウェアのデータも隠すことになります。
近年、フィッシングサイトだけでなくマルウェアが仕込まれたWebサイトもHTTPS通信で提供されているのは、マルウェアをHTTPSで暗号化することで、セキュリティ対策ツールによる検出を回避することが目的なのです。
セキュリティ対策ツールが反応しなければ、Webサイトの利用者は知らず知らずのうちにマルウェアの被害に遭うことになります。
企業として信頼性の高いWebサイトにするためには
上記の例に挙げたフィッシングやマルウェアなどのWebサイトのHTTPS通信には、かなりの確率でドメイン認証(DV)のSSLサーバー証明書が利用されていると推測されます。
ドメイン認証(DV)は、利用者そのものや実在性などの確認が行われることなく簡単に取得できますが、信頼できないWebサイトも含まれる可能性がある両刃の剣とも言えます。
その点、企業認証(OV)やEVは、SSLサーバー証明書発行の際に組織情報の審査や実在性確認などが行われるため、信頼性はこちらに軍配が上がります。
例えば、自社で公開しているWebサイトにそっくりのフィッシングサイトが存在した場合、利用しているSSLサーバー証明書がドメイン認証(DV)なら第三者が真贋を見極めることは困難ですが、企業認証(OV)やEVであれば、SSLサーバー証明書の中に組織情報も含まれるため、なりすましを選別/防止する効果があります。
また、EV SSLサーバー証明書なら、緑のアドレスバーで取得した企業名が表示されますので、ドメイン名を確認しないユーザーにも、運営している企業名称を即座に認識させることが可能です。
企業認証(OV)やEVの導入には費用もある程度必要ですが、信頼あるWebサイトを公開している、という安心感を利用者に与えるという意味で、費用に見合った効果は大いにあるはずです。
ドメイン認証(DV)の利用はキャンペーンサイトや期間限定サイトなどの利用に留め、個人情報を扱うWebサイトや会社案内サイトなどには企業認証(OV)やEVを必ず導入しておくことが、企業のWebサイトとして正しい選択と言えるでしょう。
この記事のポイント
- フィッシングサイトなども常時SSLに対応しており、知らないうちに被害に遭う可能性がある
- 企業のWebサイトには、実在証明の含まれる信頼性の高い「企業認証(OV)」や「EV」が必須
株式会社IDCフロンティア
