Sectigo の最高コンプライアンス責任者は、Chrome での Extended Validation HTTPS 証明書の可視性を最小限に抑えているとして Google を非難した。
これらは、証明書の所有者に関する検証済みの詳細情報(正式名称、政府発行の事業体ID番号、所在地など)を含む証明書です。これらの情報はブラウザのアドレスバーに表示されるか、そこから簡単にアクセスできます。この情報は、証明書が渡される前に、証明書発行者の人間によって手動で検証されます。これは、誰かがウェブサイトにアクセスし、例えば自分の銀行が運営していることを確認したい場合、所有者の検証済み詳細情報を確認することで、確かに自分の銀行であることが確認できるという考え方です。
Googleは数年前のChromeアップデートでこれらの追加情報をほぼ隠蔽し、ネットユーザーはサイトがEV証明書で保護されているか通常のHTTPS証明書で保護されているかなど気にしない、クレジットカード番号やパスワードを入力するのを止められないと主張しました。業界関係者の中には、EV証明書の有用性に疑問を呈する声もあります。
The Registerとのチャットで、SectigoのCCOであるティム・キャラン氏は、EV HTTPS証明書の最大の販売元のひとつである同社は、企業の拠点がどこにあるかなど誰も気にしないというGoogleの考えを踏まえ、「公開されているすべてのサイトから住所と郵便番号の情報を削除する予定だ」と語った。
一部のブラウザでは、見つけることさえ非常に困難です。そのため、自分が何をしているのかを本当に理解している必要があります。
「2000年代当時、その情報はブラウザ上で非常に見やすかった」とCallan氏は語る。「ブラウザを開くとドロップダウンして、その企業の所在地を見ることができたので、重要な付加価値と考えられていたのだ。」
しかし、何年もかけてブラウザメーカーは「小さな緑の南京錠」をますます目立たなくしてきたとカラン氏は述べた。ブラウザメーカーというのは、特にグーグルのことだ。
「一部のブラウザと同じように、証明書情報を見つけるのも非常に困難です。しかも、何をしているのかを本当に理解していなければなりません。Firefoxは証明書情報をうまく表示してくれますが、Chromeでは情報が埋もれてしまいます。「埋もれさせる」というのは少し不自然な表現ですが、それでも「情報を埋め込む」という意味で、これで十分でしょう。」
まさに、ナンバーワンブラウザメーカーが行ったのは、証明書の隠蔽でした。EV HTTPS証明書を使用しているウェブサイトにアクセスすると、デスクトップ版Chrome 88では、URLバーの灰色になった南京錠アイコンをクリックすると、「証明書」という見出しの下に所有者の正式名称が表示されます。その場所にアクセスするには、名前をクリックし、ポップアップボックスで「詳細」タブをクリックし、「サブジェクト」証明書フィールドまでスクロールして、「フィールド値」ボックスのレコードを注意深く確認する必要があります。そこに、企業のシリアル番号と正式な所在地が記載されているはずです。
デスクトップ版Firefox 78では、URLバーの灰色の南京錠をクリックすると、ドロップダウンボックスに認証済みの名前が表示されます。右向きの矢印をクリックすると、正式な名前と住所を含むパネルが開きます。これは、Firefoxの開発元であるMozillaがEV証明書の重要性を下げた後のことです。以前はURLバーに緑色のインジケーターが表示されていましたが、現在はダイアログボックス内のテキストになっています。AppleのSafariもこれに追随しました。
カラン氏は、Googleはブラウザセキュリティ証明書コミュニティ内で、今回の決定は「データに基づく」ものだと主張し、その正当性を主張したと述べた。チョコレートファクトリーは当時、「ChromeセキュリティUXチームは、EV UIがユーザーを意図したとおりに保護していないと判断しました…UIが変更または削除されると、ユーザーは安全な選択(パスワードやクレジットカード情報を入力しないなど)をしていないようです」と述べていた。つまり、EV情報が明白であるか隠されているかは問題ではないということだ。
最悪な週末でしたか?Sectigoの顧客なら、ルート証明書の有効期限が切れてオンラインが大混乱に陥った後、おそらくそうでしょう。
続きを読む
「確かに、消費者の目につくものをすべて体系的に排除すればね」とキャランは鼻で笑った。その証明書を「車のハザードランプ」に例え、こう続けた。「年に一度は使うだろう。でも、必要な時は必要なんだ。そして、どこにあるのか知っておく必要がある。年間364日使わないからといって、他の日には重要度が下がるわけではない」
数年前、業界の標準化団体であるCA/ブラウザフォーラムは、Googleのライアン・スリーヴィ氏の提案を受け、新規HTTPS証明書の有効期間を27か月から13か月へと半減させることを検討しました。これは、証明書を購入する組織が証明書をほぼ毎年更新する必要が生じることを意味し、理論的には証明書発行者の収益が増加することになります。ただし、これらの組織がLet's Encryptの無料証明書を使用している場合を除きます。Let's Encryptは、Google Chromeチームをはじめとする多くの企業が支援しています。
証明書の有効期間を短くする理由は、組織が最新かつ最も優れた暗号化プロトコルを証明書に使用し、証明書が詐欺師の手に渡った場合に生じる可能性のある被害を最小限に抑えられるためです。詐欺師は証明書を使って正規の組織を装うことができるのはせいぜい1年程度です。Let's Encryptの無料のバニラ証明書は1回あたり90日間有効で、定期的な更新を自動化するツールも提供されています。
一方、Sectigoは、マルチドメインEV HTTPS証明書を5年間購入すると年間465ドルかかります。5年間より短い期間を選択すると価格が上がります。ただし、24時間サポートが付属しています。EV証明書の有用性に賛同するかどうかは別として、Sectigoにとって、証明書に埋め込まれたデータをブラウザに目立つように表示させることは利益になります。そうでなければ、EV証明書はほとんど意味をなさないでしょう。
Googleは長年にわたりHTTPSの普及を推進し、あらゆる人がどこからでもウェブコンテンツを取得するためのデフォルトかつ安全なプロトコルとなることを目指してきました。しかし、どうやらHTTPSへの愛はEVに留まっているようです。
Googleの広報担当者はコメントに応じなかった。®
