■更新の理由について
Web ブラウザは、ユーザーインターフェースの変更やセキュリティパッチ適用など定期的にアップデートされています。また、アップデートにはセキュリティ強化のために考慮されたデザインなどの変更も含まれています。
このようなことから各ブラウザのサーバ証明書の表示が変更されているため、アップデートすることとしました。
【各ブラウザの対応状況】
Google が提供する Chrome では、2018 年 7 月 24 日 (米国時間) に 「Chrome 68」 が適用され、「http://」 で始まるすべての Web サイトで 「保護されていない通信」 という警告が表示されるようになりました。
Google セキュリティブログ:https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html
そして 「Chrome 68」 以降は、HTTP サイトの表示が大きく変わる予定であり、Google は 「セキュリティは最優先事項」 として、段階的にセキュリティ強化を行ってきました。今後も継続して HTTP サイトに対して警告表示を強調していくと、2018 年 5 月 17 日 (米国時間) Chromium Blog < https://blog.chromium.org/2018/05/evolving-chromes-security-indicators.html > でアナウンスしています。
Chrome 69 (2018 年 9 月適用) からは、HTTPS サイトで表示される 「保護された通信」 の緑の文字と 「https://」 というスキームが削除され、鍵マークは緑ではなく灰色に変更されました。
現時点での表示の違いは 「各ブラウザによるサーバ証明書の表示の違い」 を参照ください。
<変更前 (Windows)>
DV 証明書
OV 証明書
<変更後 (Windows)>
DV証明書
OV証明書
また、Apple も Google 同様の取り組みを行っており、2019 年 3 月に適用した iOS 12.2 で 「暗号化されていない Web ページを読み込んだときに警告を表示」 となっています。
< https://support.apple.com/ja-jp/HT209084#122 >
■各ブラウザによるサーバ証明書の表示の違い
各ブラウザによって、有効な証明書の表示に違いがあります。以下はその違いを理解するためにブラウザのアドレスバーをキャプチャしたものです。
おおよそ、DV 証明書と OV 証明書の表示には各ブラウザ大きな差はありません。EV 証明書の場合、Windows 版 Chrome、Firefox、Edge はアドレスバーの横に証明書を取得した組織名を表示することで、そのサイト運営者との照合が容易になっています。一方 Safari はドメイン名を緑色で表示することで DV や OV との違いを示しています。しかし Android 版 Chrome はサーバ証明書のタイプによる表示の差がないため、アドレスバーの表示だけでは DV、OV、EV の中でどのサーバ証明書を使っているのか判断できません。
なお、これらの表示結果は、現状では各ブラウザによる独自の仕様であり、バージョンの違いおよび自動バージョンアップの適用状況などにより表示が異なる可能性があります。
証明書普及促進ワーキンググループでは、定期的にこのアドレスバーの表示についてお知らせしていきます。
各ブラウザのアドレスバー表示
※ 2019 年 6 月 11 日時点
■目的のサイトはどの証明書を使っているかについて
上記の表示の違いから、目的のサイトがどの種類のサーバ証明書を利用しているのか不明瞭な為、判断に困る場合があります。その際には以下のサービスを利用することで、利用しているサーバ証明書の種類を確認することができます。
Check website security
https://ssltools.digicert.com/checker/views/checkInstallation.jsp
確認方法
1. ① に目的のサイトURLを入力して、右側の 「check」 を押す。
2. 入力したサイト URL にて利用されている証明書の種類が、② Certificate Type 欄に表示される。
DV 証明書の場合 ... Domain Validated (DV)
OV 証明書の場合 ... Organization Validated (OV)
EV 証明書の場合 ... Extended Validation (EV) ※上図は EV の例
■証明書を使ったフィッシングサイトに要注意
「https://」 で始まるサーバ証明書付きフィッシングサイトが増加しています。
当協議会が発信しているフィッシング緊急情報の約 40% (2019 年 1 月から 6 月) では、フィッシングサイトに DV 証明書が使われていました。
DV 証明書はドメイン名の登録権のみを確認して発行する証明書であるため、正規サイトに酷似した (一部の文字を変えたり足したりする等) ドメイン名でも取得することができ、サーバ証明書を使ったフィッシングサイトが可能となってしまいます。
2019 年に入り、ゆうちょ銀行や三井住友カード、MyJCB など、国内の銀行、クレジットカード会社をかたったフィッシングにもサーバ証明書を使ったフィッシングサイトがあり注意が必要です。
[フィッシングサイトなのに証明書が使われている?] はこちらです。
[更新] ゆうちょ銀行をかたるフィッシング (2019/06/05)
https://www.antiphishing.jp/news/alert/japanpost_20190605.html
MyEtherWallet をかたるフィッシング (2019/05/22)
https://www.antiphishing.jp/news/alert/myetherwallet_20190522.html
2018 年 3 月に公開した、「各ブラウザによる SSL サーバ証明書の表示の違い」 の記事を更新しました。
Google を皮切りにスタートした常時 SSL 化が進行する中、DV 証明書を利用したフィッシングサイトは増加傾向にあり、Web サイトを閲覧する私たちは、フィッシングサイトや偽サイトの被害を避けるため、DV、OV、EV の 3 種類のサーバ証明書をより良く理解し、注視する必要があります。
「更新の理由」 で挙げた Google の対応を例に、各ブラウザベンダが各々の思想によって、DV、OV、EV の 3 種類のサーバ証明書の扱いを決め、各々の Web ブラウザをアップデートしています。
私たちは 3 種類のサーバ証明書を把握するために、各ブラウザベンダのセキュリティ動向に今後も注視していく必要があります。
サーバ証明書が使用されている HTTPS サイトであっても、フィッシングサイトや偽サイトの可能性がありますので、ブラウザの表示に対して適切な認識を持ち、また証明書確認サービスを利用することで証明書の種類や Web サイトに掲載されている情報に疑わしい点がないか確認を行うことをお勧めします。
証明書普及促進ワーキンググループでは、DV、OV、EV の 3 種類のサーバ証明書の扱い方について、Web サイトを運営する側 (事業者) 向けにも記事を公開しています。
・常時 SSL に向けてサイト運営者が知っておくべき基礎知識 (2019/04/17)
https://www.antiphishing.jp/report/wg/_ssl_baseknowledge.html
・SSL / TLS サーバ証明書のユースケースついて(2018/03/29)
https://www.antiphishing.jp/report/wg/_sslusecase_20180329.html
<証明書普及促進 WG>
主査:田上 利博 (サイバートラスト株式会社)
副主査:稲葉 厚志 (GMO グローバルサイン株式会社)
副主査:駒場 一民 (一般社団法人 JPCERT コーディネーションセンター)
<会員組織>
阿部 貴 (デジサート・ジャパン合同会社)
石川 堤一 (キヤノンマーケティングジャパン株式会社)
伊藤 健太郎 (一般財団法人日本情報経済社会推進協会)
加藤 孝浩 (トッパン・フォームズ株式会社)
白岩 一光 (株式会社日本レジストリサービス)
林 正人 (デジサート・ジャパン合同会社)
平澤 悠士朗 (セコムトラストシステムズ株式会社)
山賀 正人 (CSIRT研究家)
<本件に関するお問い合わせ先>
■フィッシング対策協議会 (JPCERT コーディネーションセンター内) 事務局
電話:03-6271-8901
<報道関係からのお問い合わせ先>
一般社団法人 JPCERT コーディネーションセンター 広報
E-mail: 