【タケシ】
EVと言えば、電気自動車を思い浮かべる方も多いと思いますが、
本日はSSLのEV証明書のお話です。
まず「SSLって?」方はこちらに詳しく書いてますが、
簡単に言うとECサイト等で個人情報やカード情報をショップに送信する時等に、
ショップのサーバと購入者のPCとの間の通信を傍受して、
情報を盗む事を防ぐ為に、その間の通信を暗号化する仕組みを言います。
そして、当社のウェブサイトのエクスショップやガーデンプラスも、
大切なお客様の個人情報をウェブフォームにて送信して頂く為、
当然の如くSSLを導入しています。
ところで、このSSLの仕組みでは信頼できる第三者によって、
証明書を発行してもらい、その暗号をやり取りする為に必要な
公開鍵というものが正式なものかを判断する必要があります。
この「信頼できる第三者」は国際的に認定を受けた限られた数の証明書発行会社しか無く、
有名なところではベリサイン、日本ではセコムトラストシステムズ等があります。
そして、この証明書の発行と維持には手間がかかり、各社の基準により年間数千円から数十万円の
費用がかかります。
ショップ側からすると、お客様の情報はSSLで暗号化して安全に取り扱いつつ、
SSL証明書の発行・維持費用は出来るだけ抑えたいと考えるの普通です。
そこで、SSLの発行機関の中には発行・維持に掛かる手続きを極力簡略化して、
その費用を低く設定できる発行機関が多くでてきました。
(前述の年間数千円は本当に激安です。)
この事自体は大変歓迎される事ですが、発行・維持の処理を簡略化する事により、
各社の証明書の証明内容の基準が違ってきてしましました。
年間数千円のサービスでは、ドメインの所有者と証明書発行の依頼者が同一である事しか審査されていないのに比べ、
比較的費用の高いベリサインやセコムトラストシステムズではその企業や団体の実在まで審査されます。
そして、その違いがあるにも関わらず、一般のお客様からみた証明書の違いは全くわからないのです。
そして、第3者による証明を格安かつ簡単に取得できる事を利用して、フィッシングサイト等で
そのサイト信憑性を上げる為に、その様な格安のSSL証明書が悪用されるようになってきました。
話は長くなりましたが、そこで新たに規格化したのが、SSLのEV証明書というものです。
詳しくはWikipediaに書いているのですが、
http://ja.wikipedia.org/wiki/Extended_Validation_%E8%A8%BC%E6%98%8E%E6%9B%B8
抜粋するとこのような事が証明されてれいます。
・ウェブサイト所有者が運用上および物理的に実在しているだけでなく、法的実在性も確立されていること
・ウェブサイト所有者により、該当URLに対する排他的な制御が確立されていること
・ウェブサイト所有者のための作業者の同定と責任、および、責任ある役員によって署名された法的義務を伴う文書の確認
法的実在性も審査されているので、フィッシングサイトでの悪用は難しい証明書となっています。
(審査には登記情報等も調査されるようです。)
そして、EV証明書はお客様(ユーザー)側からはどのように区別できるかと言うと、
この証明書を用いたSSLで暗号化されたページを閲覧した場合、
IE等のウェブブラウザのアドレスバーが緑色で表示されます。
こんな感じです。
まだまだ、一般のお客様には浸透はしていないようですが、銀行等の顧客情報の厳格な管理が求められる企業では、
積極的に導入が進んでいるようです。
https://www.verisign.co.jp/press/2009/pr_20090209.html
http://www.google.co.jp/search?hl=ja&q=ev+ssl+%E9%8A%80%E8%A1%8C&lr=lang_ja
そして当社でも、お客様により安心してサイトをご利用頂けるように、
先日のエクスショップのSSL証明書更新の際に、このEV証明書を導入致しました。
↓このように、アドレスバーが緑色になっています。
http://www.ex-shop.net/index.php?action=public_mailform_form01_regist_input
SSL証明書をピックアップして書きましたが、このような小さな信頼を積み重ねる事によって、
ホームページ全体、当社のビジネス全体に対しての大きな信頼を得られるものと
考えていますので、これからもホームページ・お客様対応等、地道に改善を重ねて行こうと思います。