EV SSLの仕組み


――緑色の表示はEV SSLの規格で決まったものですか?

EV SSLは、サーバの認証に関してCA側で実行すべきプロセスなどを定めた規格であり、Webブラウザでの表示についての規定はない。Microsoftは長い間、緑色の表示を「安全を示す」意味で使ってきており、ユーザーも緑色の表示は「安全を意味する」ことを理解していると考えられる。MicrosoftがIE7のリリース前に実施したユーザービリティ・テストでも、グリーンバーが安全を示すものだということは多くのテストユーザーに理解されたという結果になっている。

ベリサインが米国のリサーチ会社Tech-Ed社に委託して行なったテストでは、ユーザーの多くはグリーンバーが表示されるかされないかについてはちゃんと気がついており、見落とすユーザーはいなかった。グリーンバーの認識率は100%だった。さらに、93%のユーザーは、グリーンバーが表示されるサイトでオンライン・トランザクションを行ないたいと回答している。この調査は2007年1月に行なわれたもので、まだEV SSLはほとんど普及していない段階だった。そのため、調査に協力したユーザーの大半はグリーンバーが何を意味するか知らなかったと思われるが、直感的な反応として「緑色は安全」と理解されたと考えてよいだろう。日本でも同様の調査を行なったが、結果もほぼ同一の傾向だった。

緑色を安全の意味で使用する、ということ自体は、EV SSLが定義したものではなく、最初のEV SSL対応WebブラウザであるIE7が、Microsoftの内部的な定義に従って採用したものだ。その後、追随する形となったFirefoxやOperaもこの方針に従ったのは賢明な判断だといえる。実は、Firefox 1/2では、以前は色の使い方について異なる方針を採用していた。以前は、SSL対応サイトに接続した場合にアドレスバーの背景が黄色(金色)に表示されていた。しかし、IE7ではアドレスバーが黄色になるのはサイトに危険性があると判断された場合であり、これとの混同を避ける意味もあって、Firefox 3では色の使い方が変更され、IEと同じ方針に揃えられた。

――サイト運営者名が書き換え不能なのは、EV SSLの規格で保証されるのですか?

EV SSLの規格では、Webブラウザ側の実装については定義していないので、緑色で表示するとか、コンテンツによって変更することができない形でサーバの運営者名を表示するといった機能は、あくまでもWebブラウザの開発元の判断による機能だ。表示についてはWebブラウザに依存しており、コンテンツ制作者がその表示を変更することはできない。

――EV SSL証明書を受け取ったブラウザはどのような処理を行なうのでしょう?

EV SSL証明書を受け取ったWebブラウザは、その証明書を認証するルート認証局がEV SSL用のものだということを認識する。また、証明書の内部にも各認証局が発行するEV SSL証明書固有のマーカーが埋め込まれている。

逆にEV SSL対応のブラウザの側から見ると、グリーンバーを表示するために必要となるのは、あらかじめWebブラウザに登録されたマーカーがあることと、Webブラウザに登録済みのルート認証局がその証明書を認証することの、2つの条件が揃うことだ。

EV SSLの普及・対応状況


――EV SSL証明書を発行するCA事業者は何社ありますか?

EV SSLはオープンな標準規格であり、決められたプロセスが正しく実装されていることを証明できた認証局であれば、EV SSL証明書を発行することができる。現在EV SSL証明書を発行できる認証局の数は正確には把握していないが、10社以上あると思う。

ただ、残念ながら現時点ではWebブラウザ側の対応が遅れているという問題があることも把握している。

たとえば、Firefox 3でEV SSL証明書を取得している企業のサイトを表示してみたところ、残念ながらグリーンバーが表示されないことがあった。これは、このEV SSL証明書を発行した認証局事業者のルート認証局がFirefox 3に登録されていないためだと思われる。Firefox 3でも、ベリサインが発行したEV SSL証明書ではこうした問題は起こらないのだが、これはベリサインのルート認証局が正しく登録されているからだ。Operaでも同様の問題が生じることが確認されている。

ベリサインはSSLに長く取り組んできたパイオニア企業でもあり、ブラウザ・ベンダーの側がちゃんと対応してくれているのだろう。ブラウザ側の開発スケジュールや組み込む機能の優先順位という問題もあり、他の認証局が発行する証明書のシェアが低いという観点から、対応の優先順位は高くないと判断されたのかもしれない。

――その他のWebブラウザでの対応状況は?

Appleは現時点では、SafariをEV SSLへ対応させる予定について公式には明らかにしていない。現実には、Mac OSユーザーの4割程度がFirefoxを利用しているというデータもあるので、SafariがEV SSLに未対応であることの影響は限定的だろう。

iPhoneを始めとするモバイル・デバイスに関しても、EV SSLへの対応を働きかけている。スマートフォンやPDAで大きなシェアを持つ主要なモバイル・ブラウザのベンダーがすでに将来のEV SSLへの対応を明らかにしている段階だ。ただ、携帯電話などではアクセス先のアドレスを表示していないものも多いことから「グリーンバーをどうやって表示したらよいのか」といった検討課題が残っており、多少の時間を要することになるだろう。