ニュースソース:DigiCert Blog
以下は、2018年6月5日にJeremy Rowley氏とTim Hollebeek氏によって公開されたEV Certificates & DigiCertを要約したものです。
証明書所有者の実在と証明書が利用されるサイトでのビジネスの正当性を厳密に検証し、フィッシングでは利用できない証明書を存在意義としているEV SSLサーバ証明書ですが、EV SSL証明書を利用したフィッシング実験での例を始め、EV SSLサーバ証明書の存在意義に疑問を提起する議論が見受けられます。
背景には各国の法制度によって法人の登記や営業実態を証明する制度が異なることに加え、EV SSLサーバ証明書を発行しているCA(認証局)の数が多く、それぞれの認証局のEV SSLサーバ証明書の発行基準に差異があることがあげられます。
証明書発行制度に精通した犯罪者によって犯罪に利用する目的でEV SSLサーバ証明書が巧妙に取得される可能性を捨てきることはできないのが現状です。
背景には各国の法制度によって法人の登記や営業実態を証明する制度が異なることに加え、EV SSLサーバ証明書を発行しているCA(認証局)の数が多く、それぞれの認証局のEV SSLサーバ証明書の発行基準に差異があることがあげられます。
証明書発行制度に精通した犯罪者によって犯罪に利用する目的でEV SSLサーバ証明書が巧妙に取得される可能性を捨てきることはできないのが現状です。
DigiCertは、EV SSLサーバ証明書の存在意義はブランド保護にあると定義しました。
DigiCertは既にCA/ブラウザフォーラムの基準よりも厳しい発行基準によってEV SSLサーバ証明書を発行していますが、業界全体で新しい発行基準を採用し、EV SSLサーバ証明書の価値を高めていく必要があります。
DigiCertはEV SSLサーバ証明書の発行基準として以下を提案します。
- EV SSLサーバ証明書は、使用されたドメイン検証方法を証明書に記載する必要があります。
- CAはEV SSLサーバ証明書を発行する前に登録済みの商標を確認する必要があります。
- 商標およびブランド情報を証明書に含める必要があります。
- 証明書要求者との対面検証を必要とします。
- 特定のセキュリティパラメータ(たとえば、適切なTLSのバージョン)が満たされている場合にのみ、EV SSLサーバ証明書を発行できます。
- ドメインのDNSで有効なCAAレコードが必要です。
- CAは、CAAレコードの証明書タイプをチェックするか、発行前に検証プロセスに関するCAAポリシーを遵守しなければなりません。
- CAは、アイデンティティブロックチェーンを使用してIDを記録しなければなりません。
- 証明書にLEI (Legal Entity Identifier) を含める必要があります。
フィードバックの歓迎
フィードバックを歓迎します。CA/ブラウザフォーラム、Mozillaフォーラム、Twitter等で意見をお寄せください。