インターネットによる通信は原理的に傍受が可能で、常に中間者攻撃の危険をはらんでいます。
特に、公開された WiFi を利用する場合、盗聴による情報の漏えいに注意する必要があります。
こうした脆弱な通信の危険から情報流出を防御する手段が SSL/TLS 技術ですが、残念ながらドメイン認証 SSLサーバ証明書が SSL/TLS を使った中間者攻撃を助長しています。
Moxie Marlinspike というセキュリティ研究者が 2009年の Black Hat カンファレンスで SSLstrip という呼ばれる、中間者攻撃によって SSL の機能を無効にするツールを発表しました。
しかしEV SSLサーバ証明書を使えば、ユーザーはそのような攻撃を認識し、取り除くことができます。
Marlinspike は、SSLstripプログラムがWebブラウザとアクセスしたウェブサイトとの間の接続を傍受することができ、アクセスしたサイトのコンテンツを本来の暗号化ではない方法で表示する方法を実証しています。この場合、フィッシング詐欺で使われるドメイン認証のサーバ証明書を使った不正なドメイン名のサーバーに https で接続したり、暗号化されていない http で接続したりしたウェブページが表示されます。https で接続している場合であれば、ブラウザには鍵マークが表示されます。Tor 等のオニオンルーティングや Wi-Fi ネットワーク等の中間者攻撃が可能な環境では、SSLstripはユーザー名、パスワード、クレジットカード情報を含む機密情報を盗むことができます。
SSLstripは、SSL暗号化に弱点があることを実証したわけではなく、https でアクセスを意図したサイトではないサイトに機密情報を送信させることができることを実証しています。この問題の根本はドメイン認証やクイック認証として発行されている低レベルの検証によって発行されているサーバ証明書にあります。
このような問題を見越してDigiCertは、他の主要な認証局とブラウザ開発者と協力しEV SSLサーバ証明書の実現に努力してきました。
EV SSLサーバ証明書は、Webサイトの真正性を保証するために、サイト運営者についての検証を多項目にわたって実施しています。
EV SSLサーバ証明書は、Internet Explorer、Firefox、Opera、Safari、Chromeなどの主要なWebブラウザで利用できます。
これらのブラウザではアドレスバーが緑色に変わり、一目で EV SSL証明書のサイトにアクセスしていることがわかります。
EV 証明書は中間者攻撃(man-in-the-middle attack)やフィッシング詐欺を防止できます。EV SSL証明書はこうして消費者を保護できるだけでなく、利用している事業者への信頼の獲得にも貢献します。
・SSLサーバー証明書
・コードサイニング
その他証明書
・バウチャ(クーポン)
