~ フィッシングとは金融機関などを装った電子メールを送り口座番号、パスワード、クレジットカード番号などの個人情報を詐取する行為です ~

HOME > ニュース > 協議会からのお知らせ > 各ブラウザによる SSL サーバー証明書の表示の違い (2018/03/27)

協議会からのお知らせ

各ブラウザによる SSL サーバー証明書の表示の違い (2018/03/27)

2018年03月27日

■SSL / TLS サーバー証明書について

SSL / TLS サーバー証明書(以下、サーバー証明書)には 3 つのタイプがあり、証明書のタイプによって審査、発行する際に確認する情報の多さや深さなど、プロセスに違いがあります。

  • DV (ドメイン認証型、Domain Validation)
    ドメイン名の登録権のみを確認して発行する証明書です

  • OV (組織認証型、Organization Validation)
    ドメイン名の登録権の他に、Web サイトの運営組織が実際に存在するかどうか、証明書の申請者がその組織に所属するかを審査した上で発行する証明書です
  • EV (EV 認証、Extended Validation)
    OV 証明書よりも厳格な審査 (組織の法的な登録の確認など) の基に発行する証明書です

■各ブラウザによる SSL サーバー証明書の表示の違い

各ブラウザによって、証明書が有効であるかについての表示に違いがあります。以下はその違いについてブラウザのアドレスバーをキャプチャしたものです。
大まかに見て、DV 証明書と OV 証明書には各ブラウザともに大きな差はなく、EV 証明書について証明書を取得した組織名が表示されており、そのサイト運営者との照合が容易になっています。
しかし、Android 版の Chrome に関しては、DV、OV、EV ともにサーバー証明書による差はなく、アドレスバーの表示だけではどのサーバー証明書を使っているのか判断できません。また、これらの表示結果は、現状では各ブラウザによる独自の仕様であり、数か月後あるいは数日後に表示が変わっている可能性があります。

 

証明書普及促進ワーキンググループでは、定期的にこのアドレスバーの表示について今後お知らせしていきたいと考えております。

 

各ブラウザのアドレスバー表示


※ 2018 年 3 月 23 日時点

 

■目的のサイトはどの証明書を使っているかについて

上記の表示の違いから、目的のサイトが DV 証明書を使っているのか OV 証明書を使っているのかが不明瞭なため、判断に困る場合があります。その際には以下のサービスを利用することにより、どの証明書を使用しているのか判別することができます。

 

https://cryptoreport.websecurity.symantec.com/checker/

 

1. ① に目的のサイト URL を入力して、右隣の 「Check」 を押す

2. 入力したサイト URL がどの証明書を使っているのかの結果が ② に表示される

3. EV と OV については、目的のサイトの組織名や所在地などを確認する

 

■証明書を使ったフィッシングサイトに要注意

上記の確認サービス等を利用することができたら、証明書のタイプに応じて次の点に注意しつつ利用しましょう。

DV 証明書の場合

フィッシングサイトでも多く使われるようになりました。ID・パスワードの認証情報や個人情報を入力する際は注意しましょう。

OV 証明書の場合 上記サービス等で表示結果から、「Organization」 や 「Address」 を目的のサービス提供会社の所在地と照合し、同一住所またはグループ会社本社住所などと同じであるかを確認しましょう。
EV 証明書の場合 アドレスバーに表示される社名とサービス提供社名が同一、または関連する事業者であることを確認しましょう。稀にアドレスバーの社名とサービス名が違う場合があるので、その際は会社概要等で確認しましょう

 

■最後に

DV、OV、EV の 3 種類のサーバー証明書の相違は、証明書を取得しようとするWeb サイト運営者について確認されている情報の種類、そして Web サイト運営者が行う手続きの複雑さが異なることによるものです。サイト運営者について確認される情報が少なく、手続きも比較的容易な DV 証明書を悪用目的で取得し、なりすまし、フィッシングに用いる攻撃者が出てきています。

典型的な例を挙げると、誰もが知っている企業の Web サイトのドメイン名に酷似した (一部の文字を変えたり足したりする等) ドメイン名を取得した後 DV 証明書を取得、本物の Web サイトからコンテンツをコピーした偽サイトを立上げ、その URL をメールに記載して一般ユーザへ送り付けるというものです。受信したメールに記された URL をクリックした一般ユーザは偽サイトに誘導され、サーバー証明書が使用されていることで Web サイトを信用し、個人情報、ID・パスワード情報を入力し盗まれてしまうというものです。

サーバー証明書が使用されている HTTPS サイトであっても、フィッシングサイトや偽サイトの可能性がありますので、証明書の種類や Web サイトに掲載されている情報に疑わしい点がないか確認を行うことをお勧めします。

 

<証明書普及促進 WG>
主査:田上 利博 (サイバートラスト株式会社)
副主査:稲葉 厚志 (GMO グローバルサイン株式会社)
副主査:駒場 一民 (一般社団法人 JPCERT コーディネーションセンター)

<会員組織>
田島 悟志 (NTT コミュニケーションズ株式会社)
山本 健太郎 (一般社団法人 JPCERT コーディネーションセンター)
川田 晋嗣 (セコムトラストシステムズ株式会社)
林 正人 (デジサート・ジャパン合同会社)
加藤 孝浩 (トッパン・フォームズ株式会社)
伊藤 健太郎 (一般財団法人日本情報経済社会推進協会)
新井 亮 (株式会社日本レジストリサービス)
白岩 一光 (株式会社日本レジストリサービス)

<本件に関するお問い合わせ先>
■フィッシング対策協議会 (JPCERT コーディネーションセンター内) 事務局
電話:03-3518-6120