ドメイン認証(DV)証明書の鍵マークをなくす提案

ニュースソース:HELPNETSECURITY

以下は、2017年6月28日に公開されたMaking HTTPS phishing sites easier to spotを要約したものです。

注:この記事のオリジナルは以下のPDFと思われます。
RSAConference2017 Februry 13-17 100% Encrypted Web New Challenges for TLS
画像はこのPDFからの引用です。

情報セキュリティ業界で長年の経験を持ち、Entrust Datacardに属するCA Security Councilのメンバー、CA/ブラウザフォーラム議長を務めるBailey氏とHall氏が以下の発表を行っています。

「2016年以来、14,000件以上の偽のPayPal.com用DV証明書が発行されました。フィッシングのほぼ全てでドメイン認証(DV)証明書が使われており、組織認証(OV)や拡張認証(EV)証明書が使用された例はほとんどありませんでした。運営団体の実在性を保証する証明書でウェブサイトが保護されているかどうかを見分ける重要性は高まっています。

我々は、一つの手段として、DVサイトの鍵マークをなくすことを提案しています。 DVサイトは、非暗号化サイトとして警告が出ることはないものの、「最低限の状態」であることを示す新たな位置付けが必要でしょう。

プライバシーの保護という観点では、すべてのウェブサイトに暗号化が必要と言えます。多くのサイトがブラウザの警告を回避するためにDV証明書に移行しているのはよい傾向ですが、それによりDVサイトがEVサイトに似た扱いをされるとしたら残念なことです。」

両氏は、ユニバーサルでシンプルかつ動作の安定したセキュリティインジケータの作成に向けてブラウザメーカーと協力を行っています。
OVのプレーンの鍵マーク、EVの緑色の鍵マークとバー表示は残し、DVについては鍵マークをなくすダウングレードを提案しています。

以下はそれを図で表したものです(Bailey氏の案)。
Bailey氏の案

Design by:Chris Bailey

「変更後は、ユーザーに対して新しいブラウザ表示についての理解を広め、パスワードなど個人を特定できる情報は実在性が確認されたサイト(OVおよびEV)のみで使用する、といった自衛策を周知させたいと考えています。

ブラウザベンダー側も、容易な変更であれば素早く対応することが予想されます。

ネット犯罪者にとって、匿名の使い捨てドメインと無料のDV証明書があれば脆弱性の攻撃は可能なので、OVやEVのような実在性を証明して取得する証明書は面倒なので使わないことがほとんどです。

Webサイトで証明書を活用するためのインフラは整っており、大手サイトでのOVやEVの導入が進んでいる今、対策の実施が目下の課題です。」