Google Chrome ウェブブラウザの次期バージョン 77 では、ユーザーがページ情報ダイアログを詳しく調べない限り、サイトが EV (Extended Validation) 証明書を持っているかどうかは表示されません。
2007年に導入されたEV証明書は、申請者が真正な法人であることを確認した後にのみ発行されます。企業は物理的な存在と事業拠点を有している必要があり、政府機関または非営利団体の場合はその確認も必要です。EV証明書の基本要件はCA/Browserフォーラムによって定められており、その目的はフィッシング詐欺からユーザーを保護し、詐欺行為を特定するとともに、詐欺師の捜査を容易にすることにあります。
このような証明書は発行者による人的確認に加え、証明書が必要なサイトを申請者が管理していることの自動検証が必要となるため、費用が高くなります。Webブラウザでは通常、EV証明書が使用されている場合、アドレスバーに南京錠のマークと会社名が表示されます。
EV証明書の既存のChrome表示
Chrome セキュリティ チームは、「バージョン 77 以降、Chrome はこの UI をページ情報に移動し、ロック アイコンをクリックしてアクセスする」と発表しました。
理由は簡単です。「Chrome セキュリティ UX チームは、独自の調査と過去の学術研究の調査を通じて、EV UI がユーザーを意図したとおりに保護していないと判断しました。UI が変更または削除された場合、ユーザーは安全な選択(パスワードやクレジットカード情報を入力しないなど)を行っていないように見えます。これは、EV UI が意味のある保護を提供するために必要なことです。」
今年初め、Googleの研究者は、ChromeとSafariブラウザのユーザーを対象に、EV情報の表示を含む様々な指標の有無でウェブサイトをどの程度信頼するかを問う大規模な調査結果を発表しました。その結果は「ブラウザのアイデンティティ指標は、接続セキュリティ指標と同様に、ユーザーのセキュリティ判断に役立たない」という、非常に残念なものでした。85%のユーザーは、偽のURL 「accounts.google.com.amp.tinyurl.com」のGoogleログインページについて、「Googleは安全な企業だ」といった理由や、ページの内容が見覚えがあったため信頼したといった理由で、特に違和感を感じていませんでした。
チームは、セキュリティに関する肯定的な指標はほとんど効果がないという結論に至りました。Chromeの方向性としては、接続が安全であることを示すのではなく、暗号化されていない(HTTP)接続などの「安全でない」と表示される否定的な指標を強調表示することが挙げられます。
AppleはすでにSafari UIからEV認定企業名を削除している。
ChromeとSafariはEV証明書と非EV証明書を区別していないため、その価値は疑わしい。セキュリティ研究者のトロイ・ハント氏は次のように述べている。
つまり、事実上、EV は廃止されました。「Chrome セキュリティ UX チームは、EV UI がユーザーを意図したとおりに保護していないと判断しました」https://t.co/W7kCKCCJR8
— トロイ・ハント(@troyhunt)2019年8月10日
Googleの発表により、証明書プロバイダーによるEV証明書の販売が難しくなるでしょう。これは、Let's Encryptの無料証明書を使った方がよい理由の一つでもあります。Let's EncryptのEV証明書はなくても、もはや問題ではありません。®
