EV SSLの誤解を解く
Internet Explorer 7の自動更新が始まっています。
http://www.microsoft.com/japan/windows/products/winfamily/ie/au/default.mspx
USのサイトには、自動更新についての記述がない(2月20日現在)ところから推測するに、
マイクロソフトの日本市場への力の入れ具合というのがうかがわれます。
そんなIE7で、セキュリティに関する機能の目玉の一つがEV SSL(Extended Validation SSL)です。
EV SSLは、サービスが開始されて丁度一年くらいになりますが、現段階では普及は今一つのようです。
Netcraftのサーベイによると、SSLを利用しているサイトの0.5%にしかEV SSLが該当していないとか。
EV SSLとSSLの違いは、証明書発行のプロセスにあります。
(技術的には殆ど違い無く、これはEV SSLだという拡張フィールドが追加されているだけです)
EV SSLで検索すると、よく出てくる記述が「アドレスバーが緑色になる」という点です。
これは、ブラウザ側の実装の話であって、本来EV SSLとはあまり関係の無い話なのですが、
マーケティング的に、今までのSSLとは違うのですよと言いたいのでしょう。
また、フィッシング対策になるという記述も見受けられますが、間違っています。
EV SSLで対策できる事は通常のSSLでも十分に対策になりますし、一方で、Webサイトに
クロスサイトスクリプティングの脆弱性が存在する場合には、EV SSLでも対策になりません。
本質は、EV SSLは法人や公共団体などにしか発行することができない点にあります。
つまり「存在を十分に証明する資料」がない場合は、発行プロセスで弾かれるのです。
そうすることで、EV SSLを発行された組織は信用できるということになるのです。
これがどういう事をもたらすかと言うと、
今までのSSLでは取引をする相手に安全確実に情報が届くということが、
EV SSLでは取引をする相手は社会的に信用ができ、その相手に安全確実に情報が届く
ということをユーザが視覚的に確認することができるようになるのです。
ECなど、全く顔が見えない相手と初めて取引を行う場合などには有効ですが、
予め相手が信用できるという点が判かっている場合は、SSLで十分だという事になります。
これからはその点、使い分けがされて行くのではないでしょうか。
トラックバック
このエントリーのトラックバック:
http://news.brain-gate.net/mt-tb.cgi/452
