メインコンテンツまでスキップ
画像
紫色の六角形のパターン

「拡張検証」(EV)とは何ですか?

「拡張検証」とは、SSL証明書を発行する前にCAが使用する業界標準の厳格な検証方法を指します。拡張検証のガイドラインは、こちらのCA/Browser Forumにて公開されています。

EVマルチドメイン証明書(EV SSL証明書)とは、どのような製品ですか?

CA/Browser Forumという業界コンソーシアムが作成した「Extended Validation(EV)SSL Certificate」(拡張検証(EV)SSL証明書)。 この新しいカテゴリの証明書は、オンライントランザクションに対する消費者の信用を深めることを目的として、フィッシング攻撃の脅威の高まりに対応して考案されました。 EV証明書は、厳格なID調査でWebサイトの検証が完了したWebサイトにのみ発行されます。 各種のWebブラウザは、オン/オフの差がわかりやすくユーザーの目を引く高度なID保証を採用することになるでしょう。例としては、Internet ExplorerやMozilla Firefoxで採用している緑色のアドレスバーや、最新バージョンのOperaやGoogle Chromeで採用している高度な緑色のインジケーターなどが挙げられます。

CA/Browser Forumとは何ですか?

CA/Browser Forumは、フィッシングの脅威を軽減する方法を検討するために、認証局のサービスプロバイダー、Webブラウザ開発業者など、業界からの参加者で結成された団体です。Entrustは以前、この団体の議長を務め、その活動を強力に後押ししています。詳細については、CA/Browser ForumのWebサイトを参照してください。

Entrust Multi-Domain EV SSL Certificateは、どのブラウザでサポートされていますか?

現在使用されているブラウザの大半は、EVに対応して緑色の信頼性インジケーターを表示します。主なEV対応ブラウザには、Internet Explorer(バージョン7以降)、Mozilla Firefoxバージョン3、Operaバージョン8、Safariバージョン3.2、Google Chrome、Flockバージョン2などがあります。

Entrust Multi-Domain EV SSL Certificateで、消費者の信用がどのくらい高まりますか?

多数の悪意のあるフィッシングインシデントやオンライン詐欺により、消費者は個人情報の盗難を懸念しており、個人データを入力するサイトが信頼できることを改めて確認したいと考えています。消費者がサイトを信頼できないと感じ、個人情報が暗号化されていない場合、消費者はそのサイトを離れて別のベンダーで取引を行います。Entrust Multi-Domain EV SSL Certificateは、消費者のオンライン トランザクション操作中、目を引くなじみ深い信頼性インジケーターを表示する形で、消費者の信用を深める効果があります。これで、ロックマークがブラウザウィンドウの下部ではなく上部に表示されるようになりました。またWebサイトにEntrust Multi-Domain EV SSL Certificateがインストールされている場合、アドレスバーの色が緑色で表示され、サイトのIDとCertificate Authorityの名称が表示されるため、消費者に安心して買い物を楽しめるサイトであることをアピールできます。

Entrust EV SSL Certificateを購入できるのは?

現在、幅広い事業体がEV証明書でカバーされています。

  1. 民間組織:法人化管轄区域にある法人設立機関への(またはそのような法人設立機関の働きによる)登録申請によって誕生した非政府法人(株式は公開または非公開)。
  2. 政府機関:政府が運営する法的実体。国または国の下位行政単位(州、省、市、群など)の行政機関が運営する機関、部局、省庁などの要素。
  3. 事業体:民間組織でも政府機関でもない任意のエンティティ。例には無限責任組合、非法人組織、個人事業などがあります。

Entrust Multi-Domain EV SSL Certificateを購入するには、どうすればよいですか?

Entrust Multi-Domain EV SSL Certificateの初回購入は、Entrust Certificate Services(ECS)のこちらのWebサイトから、2回目以降はより大きな証明書プールを管理するお客様向けの拡張インターフェイスからお申し込みいただけます。

既存のEntrust SSL Certificateから新しいEntrust Multi-Domain EV SSL Certificateにアップグレードできますか?

はい。これらのプロモーションをご利用になるお客様は、証明書を発行する前に、新しいEVガイドラインに基づく検証を終える必要があるためご注意ください。

Entrust Multi-Domain EV SSL Certificateの最大有効期間はどのくらいですか?

Entrust Multi-Domain EV SSL Certificateの有効期間は最大2年間(24か月間)です。

Entrust Multi-Domain SSL Certificateと現在のEntrust SSL証明書の差は何ですか?

最も重要な違いは、Entrust EV SSL Certificateの発行準備です。EntrustはすべてのEntrust SSL証明書で発行前に「精査」や検証を意図したリクエスターIDチェックを行っています。

新しいEVモデルでは、Entrust Multi-Domain EV SSL Certificateをリクエストしているエンティティ(企業やサイト運営者など)に対し、CA/Browser Forumが定義する業界標準のガイドラインに沿った検証が施されます。これは、認証局ごとに検証基準が大きく異なるという点で、現在の運用方法とは異なります。認証局の大半は通常、厳格な検証業務を実践しているものの、一部の例外が、消費者取引を保護するSSLの全体的なセキュリティレベルを引き下げています。

「拡張検証」を経て発行される証明書には、EV固有の証明書ポリシーへの参照が組み込まれています。各認証局には、固有のポリシーとポリシーのオブジェクト識別子(OID)が存在しています。EVをサポートするブラウザは、認識したEVポリシーOIDに基づいて発行された証明書に遭遇すると、異なる動作を見せます。

Entrust Multi-Domain EV SSL Certificateが、技術的には標準のX.509証明書と同じであり、古いブラウザとの下位互換性を備えている点に注目してください。Entrust Multi-Domain EV SSL Certificateには、法人設立管轄区域も含め、対象(証明書の発行対象であるエンティティ)に関する詳細情報が含まれます。

現在利用しているEntrust SSL証明書でも、十分にオンライントランザクションを保護できますか?

暗号化の観点から出る答えは「はい」です。現在のEntrust SSL証明書でも引き続き暗号化されたSSL通信が使用されます。

ただし、オンライントランザクションに対する最大の脅威は、根本的には暗号化ではなく、フィッシングです。 フィッシングは、信頼できるサイトと偽サイトを見分ける能力がない消費者を食い物にしています。

EVイニシアチブは、消費者がこれを容易に見分けられるようにすることを目的としています。 消費者は続々と新しいブラウザを採用しており、トランザクション中はEntrust Multi-Domain EV SSL Certificateによって強力な信頼性インジケーターが表示されることを期待していることを踏まえると、使用感の観点から、非EV型証明書は減っていくでしょう。

Entrust Multi-Domain EV SSL Certificateに切り替えるべきですか?

eコマーストランザクションを実行するWebサイトを運営している場合、または機密情報や個人情報を収集する場合は、Entrust Multi-Domain EV SSL Certificateへの切り替えを検討する必要があります。

フィッシング攻撃は、消費者がインターネットに寄せる信頼を損なう真の脅威です。Entrust Multi-Domain EV SSL Certificateは、広く展開され、そして使用されて初めて、ソリューションの一部として機能します。

EVサポートがない旧式のブラウザで、Entrust Multi-Domain EV SSL Certificateを使用しているサイトを開いたとき、動作はどうなりますか?

EVをサポートしていないブラウザでは、引き続き現在と同様の動作となります。証明書を発行したCAがブラウザから信頼されていれば、想定どおり鍵のかかったロックのマークが表示されます。

SSL証明書ブラウザのスクリーンショット

ほとんどの場合は、古いブラウザと新しいEVブラウザの両方のWebサイトサポートで、ルートCAが発行し、すでに古いブラウザに組み込まれている相互証明書をWebサーバーにインストールする必要があります。相互証明書は、新しいEV固有の発行CAを信頼できるものとして認証し、実際のWebサーバーサイト証明書はその発行CAから発行されます。

証明書が無効なWebサイトまたはフィッシングサイトにアクセスした場合、ブラウザはどのように応答しますか?

応答はブラウザの種類によって異なる場合があります。しかし一般的には、既知のフィッシングサイトにアクセスしたときに、アドレスバーが赤色に表示されます。

赤色の警告は、報告されたフィッシングサイトへの即時アクセスをブロックしますが、ユーザーは必要に応じてサイトに移行することができます。

フィッシングWebサイトの例のスクリーンショット

赤色のアドレスバーは、証明書に問題があるか、信頼できる認証局から発行されたものではない可能性を示唆している場合もあります。

Internet Explorerでは、ユーザーの目を引く警告が表示され、そのページへのアクセスを避けるよう促します。

セキュリティ証明書の警告のスクリーンショット

ユーザーが警告を無視して続行すると、アドレスバーが赤に変わり、赤い「セキュリティバッジ」警告が表示されます。

ブラウザのセキュリティバッジの警告のスクリーンショット

Entrust製のソフトウェアに基づいて自身が所有するCAを運用しています。EV証明書は自分で発行できますか?

はい、EntrustルートCAを所有している場合、CAがEV対応ブラウザに認識されると、Entrust Multi-Domain EV SSL Certificateを発行できるようになります。 すると必然的に、主要ブラウザのEVルート埋め込みプログラム内にすでにあるCAとの相互認証を行うか、これらのプログラムに独自のルートを送り込むことになります。 どちらにしても、CA/Browser Forumのガイドラインに沿った監査が必要です。

Webサイトを運営している者です。 Entrust Multi-Domain EV SSL Certificateを導入すると、具体的に何が変わりますか?

Webサイト運営業者の立場から考慮すべき変更点がいくつか存在します。たとえば証明書に次のような加入者情報が記載されることになります。

  • ドメイン名
  • 組織名
  • 法人設立管轄区域
  • 市町村
  • 都道府県(記載がある場合)
  • 国 – 必須項目

一部のCSR生成ツールでは、この情報を証明書に追加できない場合があります。 ただし、証明書の発注手続きが完了した時点で、Entrustが該当する情報をEntrust Multi-Domain EV SSL Certificateに追加することもできます。

ワイルドカード証明書は、証明書の必要購入数に影響を与えかねないため、EV規格では、ワイルドカード証明書の使用が認められていないことにご注意ください。

「現行のEntrust SSL証明書でも、アドレスバーを緑色にするくらいできませんか?」

現在のSSL証明書に基づくブラウザで、より優れたセキュリティ機能を有効にすることもできますが、問題は現行の証明書の背後にある検証のレベルに一貫性がないことです。

SSL証明書をリクエストする企業に対して十分に厳密な検証を施さないCAも、現在は一部ながら存在します。そのためフィッシングサイトでも有効なSSL証明書を取得できてしまうリスクが生じています。

そのリスクを念頭に置いてCA/Browser Forumは、参加CAがどこも同じ基準に従って検証でき、ブラウザ開発業者が緑色のアドレスバーなど、より目に付きやすいセキュリティ機能をオンにする基準として使える、共通の検証ガイドラインの策定に乗り出しました。

Entrust Multi-Domain EV SSLのワイルドカード証明書を取得できますか?

いいえ、EV SSLガイドラインではワイルドカード証明書は許可されていません。 状況によってはsubjectAltName拡張機能でもワイルドカード証明書と同じ利点を得ることができます。これは、EVガイドラインで許可されています。

Entrust Multi-Domain EV SSL Certificateの失効手続きが取られるのは、どのような場合ですか?

次のいずれかの事態が発生した場合、Entrustは発行したEntrust Multi-Domain EV SSL Certificateの失効手続きを義務付けられています。

  • 加入者自身が、Entrust Multi-Domain EV SSL Certificateの失効手続きをリクエストした。
  • 元のEntrust Multi-Domain EV SSL Certificateリクエストが承認されておらず、遡及的に承認が付与されないことを加入者が示した。
  • 加入者の秘密鍵(Entrust Multi-Domain EV SSL Certificateの公開鍵に対応)が侵害を受けた、またはEntrust Multi-Domain EV SSL Certificateが不正使用されたという合理的な証拠をEntrustが入手した。
  • 加入者が『Subscriber Agreement』(加入者契約)の定める重要な義務事項に違反していることが、通知またはその他の形でEntrustの知るところとなった。
  • 加入者がEntrust Multi-Domain EV SSL Certificateに登録されているドメイン名を使用する権限が、裁判所または仲裁人によって取り消されたこと、または加入者がドメイン名を更新していないことが、通知またはその他の形でEntrustの知るところとなった。
  • Entrust Multi-Domain EV SSL Certificateの記載情報に重大な変化が生じたことが、通知またはその他の形でEntrustの知るところとなった。
  • CAの一存で、懸案のEntrust Multi-Domain EV SSL CertificateがこれらのガイドラインやCAのEVポリシーの条件を遵守しないで発行されたと判断された。
  • Entrust Multi-Domain EV SSL Certificateに表示される情報のいずれかが正確ではないとEntrustが判断した。
  • Entrustは何らかの理由で事業を止めたが、懸案のEV証明書の失効サポートを別のEV CAに依頼しなかった。
  • これらのガイドラインに基づいてEntrust Multi-Domain EV SSL Certificateを発行するEntrustの権利は、[引き続きCRLまたはOCSPリポジトリを維持するための取り決めをCAが行わない限り] 有効期限切れとなるか、失効となるか、終了します。
  • 該当するEntrust Multi-Domain EV SSL Certificateに対するEntrustの秘密鍵が侵害を受けた。
  • 加入者が申請権利剥奪者または取引禁止対象者としてブラックリストに追加されたこと、または加入者の運営拠点がCAの運営管轄の法律で禁止された仕向け地であることが、通知またはその他の形でEntrustの知るところとなった。

EntrustのEV証明書の問題の報告方法と対応能力は、どのようなものですか?

報告

以上のいずれかの理由でEntrust Multi-Domain EV SSL Certificateの失効を要望される場合、オンライン申し立てフォームで情報を提供する形で、Entrustにご連絡いただけます。

Entrust Multi-Domain EV SSL Certificateの加入者、証明書利用者、アプリケーションソフトウェアベンダーなどの第三者は、Entrustのオンライン申し立てフォームを使用してEntrustにお問い合わせいただけます。このフォームでは、EV証明書の失効手続きをリクエストするほか、関連する苦情、秘密鍵の侵害、EV証明書の濫用などの詐欺行為、不正アクセス、不正な使用や行いの疑いを報告できます。

調査

Entrustはどの「Certificate Problem Report」(証明書問題報告)についても、受け付けから24時間以内に調査を開始し、失効などの対応の適否を判断します。以下はその判断基準の一例です。

  1. 申し立てのあった問題の性質。
  2. 特定のEV証明書またはWebサイトに関して寄せられた「Certificate Problem Report」(証明書問題報告)の数。
  3. 申立人の身元(Webサイトが違法行為に従事しているという申し立てが法執行機関の職員から寄せられた場合は、注文した商品が一切届かないという一般消費者からの申し立てより重視されるなど)。
  4. 関連する現行法。

回答

Entrustは、優先度の高い「Certificate Problem Report」(証明書問題報告)には社内スタッフがいつでも対応できる体制を24時間年中無休で維持しています。必要に応じて、法執行機関が介入するべき申し立ては法執行機関に取り次ぎ、失効させるべきEntrust Multi-Domain EV SSL Certificateは失効させます。