orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

感想文:「Let’s encryptとSSL/TLSに関する誤謬」

f:id:orangeitems:20180608183821j:plain

 

SSLのことを理解できる記事

SSL証明書関連でよい記事を見つけました。

 

Let’s encryptとSSL/TLSに関する誤謬 – Chienomi

全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。

 

何度か読み直しましたが「DVとOV」の章には私と意見の相違があり、その他は正しい情報だと思います。

 

OV(企業認証)

OV(企業認証)の記載を補足します。

OVとはその申請した企業が登記簿に記載があるかを確認したうえで、その登記簿に記載されている代表電話に連絡し、受付に申請責任者に電話を転送してもらい、申請の意志を確かめます。そしてSSL証明書を発行すると同時に、サイトシールと呼ばれるものを添付し、そのリンク先を確認することにより企業認証を確認できるようになるというものです。

例えば、グローバルサインのSSL証明書の例確認してみます。下記を開きます。

[Bizメール&ウェブシリーズ専用]グローバルサインのSSL

 

すると、下記の記載があります。

f:id:orangeitems:20180608174315p:plain

 

このサイトシールをクリックすると、以下のページがポップアップで出ます。

f:id:orangeitems:20180608174528p:plain

という具合に、OVがきちんと使われる世界が想定されていたわけです。一時期はどのWEBサイトにもベリサインのシールが貼られていたものですが、ベリサインがシマンテックに代わりそしてデジサートにまた運営が移行したこの状況で、そもそもシールって意味ないよねという流れになっています。

シール自体も偽装できますしね(画像だし)。ポップアップの中身だって偽装できちゃう。またこのシールの流れもPCでの利用が前提ですが、スマホにはUI的になじまなかったなあ。

 

具体的には以下のような商品です。今もたくさんの企業がこのOVを使い続けています。それこそ、盲目的に。

企業認証SSL|GMOグローバルサイン【公式】

 

EVとOVとDV

はてなのブコメに「OVとEVごっちゃになってないか?」というコメントがありましたが、これはごっちゃになっていないですね。記事中はOVとDVのことだけ書かれています。EVも書くと話が複雑になるので省略したのだと思います。

EVは、OVの上位版で、シール貼るのも意味ないしわざわざ証明書のサブジェクトをユーザーが確認するわけないしどうしたもんかね、というところから生まれた証明書です。

良い説明記事がありますので紹介しておきます。

SSLサーバ証明書の選び方|SSLサーバ証明書 ジオトラスト

 SSLサーバ証明書の選び方

企業認証(OV)証明書とEV SSL証明書とドメイン認証(DV)証明書はそれぞれ利用に適した用途がございます

。まずはウェブサイトの用途を確認した上で、実在性の証明を必要とされるウェブサイトで、特に実在性を強くアピールしたいウェブサイトはEV SSL証明書、それ以外で実在性の証明が必要とされるウェブサイトは企業認証(OV)証明書、暗号化通信のみが必要とされるウェブサイトではDVを利用するといった使い分けを推奨しております。f:id:orangeitems:20180608175706g:plain

 

EV認証は企業認証も行ったうえで、ブラウザのURL部分が緑になって組織名を表示してくれます。ただ、すごく似通った組織名を使ってフィッシングサイトを作ることはできそうなものなので、バーが緑になって企業名が書いてあるから安心っていうのはまた違うんじゃないかとは思いますが。

Let's Encryptは、ドメイン認証だけです。ドメインの所有者が作れる証明書ということです。ドメイン認証の危険性は以下を思いつきます。

・ドメインを取得するのは簡単。例えばお名前.comではオンライン上で手続きすればあっという間にドメインを取得できます。もちろんフィッシングサイト用に本物のドメインと似通ったドメイン名で取得もできます。それに対してLet's Encryptでドメイン認証でのSSL証明書取得も簡単です。つまり、フィッシングサイトのSSL化はLet's Encryptなどの無料ドメイン認証SSL証明書を使えば簡単に作れてしまいます。例えば、ammazon.jpというドメイン名は今でもとれるみたいですしね。これで証明書まで作れちゃう。

・悪意のある第三者がドメインを管理するDNSサーバーが乗っ取れた場合、即座にLet's Encryptでドメイン認証の証明書を作ってしまえばいい。

ということで、OVとDVは見わけも付きにくいので、これからの証明書はEVだよなーと思いつつ、EV高いなあという印象です。ということで、OVがダメだからDVでいいでしょ、というのは反対で、本来はOVがダメだからEVに行かないと本来はいけないよねという話だと思います。

 

EV SSL|GMOグローバルサイン【公式】

緑のアドレスバーで安全なウェブサイトを構築

EV(Extended Validation)は、証明書に記載される組織が、法的かつ物理的に実在し、またその組織が証明書に記載されるドメインの所有者であることを認証します。EV SSLは世界標準の認証ガイドラインがあり、SSLサーバ証明書の中で最も厳格な審査が行われます。
EV SSLを導入したサイトをInternet ExplorerやFirefox、Safari、Google Chromeなどのブラウザで表示すると、アドレスバーが緑色になり、そのウェブサイトの運営組織が表示されます。アクセスユーザはアドレスバーを見るだけで、自分がアクセスした先の運営組織を知ることができます。

 

企業名とドメイン名が同じかどうかも大事なのですが、その企業が登記されているかというのがよっぽど大事かなあと思います。登記した企業が悪いことをするのなら、それこそ証明書ではどうしようもないのかなと思います。

 

Let's EncryptはHTTP通信を否定するためにある

世の中の平文の通信って裸で街を歩くようなものだよね・・、ということで生まれた無償のドメイン認証SSL証明書発行サービス、Let's Encryptの思想は正しいと思います。このブログhttp://www.orangeitems.comだって、はてながもうすぐlet's encryptで証明書をかぶせてくれるそうです(ありがとう)。

これと、OVって意味ないんじゃない議論は一緒にはできないと思います。OVを否定するならEVを使わねばいけません。結構、EVを使うべきなサイトが、DVで済ませたりしていてなんでだーと思ったこともありましたこの前。

日本郵便偽サイトに思う、インターネットにおけるキャンペーンサイトのあり方 - orangeitems’s diary

ドメイン認証のサイトのフォームに、情報入れたらダメだと思います。単に暗号化されているってだけです。また、読むだけのブログにOVやEVはオーバースペックだと思います。

ということで、ドメイン認証というレベルではLet's Encryptいい!、って思ってます。でもOVやEVを否定するのは飛躍しすぎという私の意見です。そこにはコストがかかって当たり前だと思います。GoogleだってYahoo! Japanだって楽天だってOVだったりするし。O=企業名というのは意外と重要。あと、EVがワイルドカード証明書に対応していないのは痛い。

 

EVのワイルドカードサーバ証明書を取得できますか?
現在のところ、CA/ブラウザフォーラムの定めたEV SSLサーバ証明書発効ガイドラインに抵触するため、発行することができません。

EV SSLサーバ証明書FAQ|SSL サーバ証明書:DigiCert(デジサート)

 

まとめ

ということで、世の中がこんな感じになるといいですね。

・OVは廃止(DVと見分けがつかない)
・HTTP平文通信は廃止(危ない)
・DVとEVだけになる
・DVとEVがもっと見分けがつく(企業名が出る出ないだけではわかりにくい)
・EVがもっと安くなる(願望)

暗号化だけでいいサイトはDV、WEBサイトの実在性が問われる場合はEVというのがバランスがいいのではないかと思います。