フィッシング対策協議会(Council of Anti-Phishing Japan)は9月6日、「フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|協議会からのお知らせ|Webサイトのサーバー証明書種類の確認方法(2022/09/06)」において、Webサイトが使用しているサーバ証明書の種類を確認する方法を紹介した。最近の主要Webブラウザにおける証明書の種類の表示がわかりにくくなったことを受け、確実に確認できる方法が紹介されている。
記事では、次の2つのサービスを使って証明書の種類を確認する方法が示されている。
- SSL Certificate Checker - Diagnostic Tool | DigiCert.com
- サーバ証明書の設定確認 サポート -サイバートラスト、SSLサーバ証明書とスマートフォン向け端末認証、端末管理(MDM)-
どちらのサービスを使った場合も、EV証明書(Extended Validation Certificate)または組織認証型証明書(Organization Validation Certificate)を使っていれば組織名が表示される。ドメイン認証型証明書(Domain Validation Certificate)を使っていたら、組織名は表示されない。
WebブラウザからEV証明書であるかどうかを確認する方法はそれぞれ異なっている。これまではアドレスバーの表示のみで確認できたが、最近の変更で数ステップの作業を踏んで調べなければ判断できなくなったことから注意が必要。
証明書を使っていてもその種類によって信頼度が異なる。EV証明書を使っているWebサイトは信頼度が高い。逆に、ドメイン認証型証明書を使っているサイトは信頼度が低く、フィッシング詐欺サイトに使われるケースが増えている。HTTPSで通信されているからといった必ずしも安全とは言えない状況になっていることを認識し、場合によってはEV証明書や組織認証型証明書が使われているかどうかを確認することが望まれる。