日本ベリサインは12日、EV-SSL証明書に関するプレス向け説明会を開催した。
EV-SSL(Extended Validation SSL)は、従来のSSLサーバ証明書の信頼性をさらに高め、確実なサイト認証を可能にするとされる。説明を行なった米VeriSignのDirector of Product MarketingのTim Callan氏は、EV-SSLを「セキュアなeコマース・プラットフォームにおける初めての根本的な変革」と位置づけた。
SSLサーバ証明書は、元々はアクセス先のサーバが信頼に足るものであることを証明するという機能を担っていたのだが、実運用の過程で単に暗号化機能を利用するために必要だからという理由で発行される例もあったという。このため、SSLが利用されていることがサーバの正当性の証明とは見なされていないのが現状だ。
一方、フィッシングサイトの急増はさらにペースを上げており、2006年には2005年の9倍の増加率を示しているという。Forrester Researchによる調査結果では、消費者の84%はコマースサイト運営企業が消費者保護のための充分な取り組みをしていないと感じており、24%はオンラインでの購入そのものを辞めるに至ったという。
Callan氏は「フィッシングサイトの増加がオンライン・ビジネスの市場を縮小させている」という。EV-SSLは、ユーザーがアクセスしているサイトがフィッシングサイトではないことを確実に証明することで、消費者のeコマースに対する信頼を回復することを狙っている。
EV-SSLは、サーバ側に交付される証明書と、EV-SSLに対応するクライアント側のWebブラウザの組み合わせで機能する。EV-SSL対応のWebブラウザとしてまずリリースされたのがInternet Explorer 7(IE7)だ。このほかの主要Webブラウザでも、FirefoxがVer.3からの対応を表明しているほか、Operaも次のバージョンで対応という方針を明らかにしている。IE7はWindows Vistaに標準搭載されているため、同氏は「今後3年間でEV-SSL対応ブラウザが市場シェアの大半を占めることになる」という見通しを示した。
現在のIE7の実装では、アクセス先のサイトがEV-SSL証明書を持っていることが確認できた場合、アドレスバーの背景色が緑になり、安全性の高いサイトであることが確認できる。ただし、この機能はIE7のフィッシング・フィルタの機能がオンになっていないと機能しないという。サイトが従来のSSL証明書しか持っていない場合およびクライアント側のブラウザの設定でフィッシング・フィルタがオフになっている場合は、いずれも現在と同様の表示となるため、背景が緑にならない原因がサーバ側なのかクライアント側なのかが一目で分からない点には注意が必要だろう。さらに、サイトの内容からフィッシングの疑いが強い場合は背景が黄色に、既知のフィッシング・サイトである場合には赤になるのだが、こちらはEV-SSLとは無関係で、純粋にIE7のフィッシング・フィルタの機能となる。
EV-SSL証明書を持っている(アドレスバーの背景色が緑になる)ことが安全性の証明として機能する理由は、EV-SSL証明書の発行プロセスが明確化され、証明書の発行申請を行なった企業が実在することを確認することが必須となっているためだ。単に暗号化機能のために適当な内容の証明書を置いておく、といった対応は不可能になり、確かに現存する企業が自社で取得したドメイン名でサイトを運用している場合にのみEV-SSL証明書が有効になるため、他の有名企業名を騙るような典型的なフィッシング・サイトは排除できることになる。
Callon氏は、「EV-SSLは犯罪者以外の全ての人にメリットをもたらすものだ」として説明を締めくくった。