2010年05月29日
■ 「VeriSignシール」という幻想
オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。
後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。
その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実在証明付きサーバ証明書の提供も続けている。
VeriSignは、実在証明のないサーバ証明書を提供するGeoTrustを2006年に買収したことから、今では、3種類のサーバ証明書を提供することになった。その結果、その違いを説明する必要に迫られることとなり、日本ベリサイン社は、実在証明の意義を以下のように説明している。
- 認証方法の違いによる役割と活用場面(企業の実在性認証とオンライン認証), 日本ベリサイン
実在証明を必要とするケースと不要なケースが説明されているが、付け加えて言えば、不特定多数向けのサービスであっても、ドメイン名が広く知られている場合には、実在証明はなくてもよいと思う。また、実在証明を本当に必要とする場面として、マイナーな中小企業が運営するネットショップのケースがあると思う。
基本的に、SSLで安全な通信(偽サイトへの送信を防ぐ意味を含めて)ができるのは、以前訪れたことのあるサイト(ドメイン名や会社名を覚えているサイト)か、元々運営者のことをよく知っている場合のいずれかである。初めて訪れたサイトで、運営会社のことをよく知らない場合、本来は安全な通信は実現しようがない。
しかし、そんなことを言えば、マイナーな中小企業はネットショップを運営できなくなってしまう。そこで、そのような場合に、実在証明付きのSSLサーバ証明書を使うことで、結果的に、そのサイトの運営者について、ある程度の信用性が確認できる……と考えることができる。
VeriSignが古くから「VeriSign Secured Seal(ベリサインセキュアドシール)」を提供しているのは、そうした状況における、運営企業の実在証明のためだったはずだ*1と私は思う。
というように、VeriSignシールは、SSL暗号化通信には何の意味もないとよく言われるけれども、一応、中小企業向けに運営者の実在証明として意義をなしていると思う。
ところが、シールの意味が正しく理解されておらず、不正に貼られている事例があるようだ。以下は、私が作成した入力フォームだが、本物のVeriSignシールが貼られている。(もちろん、ここに入力されたデータは私の手中に入る。)
シールをクリックすると、「フォームメーラー」という、誰でも無料で入力フォームを設置できるサービスの運営会社の名前が表示される。カード番号を盗むような入力フォームを設置されたとき、この会社は責任を負うつもりなのだろうか。
この「フォームメーラー」は、昨年6月27日の日記「EV SSLを緑色だというだけで信用してはいけない実例」でも取りあげた。その後、このサービスはEV SSLの提供を中止していた。
- フォームメーラー Pro-EV版 サービス終了のお知らせ, フューチャースピリッツ, 2009年8月24日
中止したのはよかったが、なぜ中止しなければならないのか、その意味を理解していなかったようで、その後、2009年9月から、VeriSignシールを貼付ける機能が付け加えられていた。
- 今回のアップデートで追加された主な機能, フューチャースピリッツ, 2009年9月8日
入力画面にSSL シールを表示することができるようになりました。
そもそも「SSLシール」じゃなくて「VeriSignシール」だ。この会社はSSLが何なのかまるで理解していないようで、以下のように宣伝している。
「ベリサインのSSL」などというものがあるわけじゃない。SSLは単なるプロトコルの名前であって、VeriSign社が発明したわけじゃないし、どこの証明書を使おうが暗号化の強さに関係ない。
加えて言えば、図2の画面に書かれている「全世界標準の認証ガイドラインに基づいて発行されるSSL証明書なので」というのは、EV SSLの説明であって、このサービスはもうEV SSLの提供をしていないのだから、これは虚偽の商品説明ということになる。
ちょっと自分の頭で考えてみたらどうだろうか。
どのくらいおかしい話かは、このサービスを紹介した以下の個人のブログでわかる。
- SSL・携帯対応のメールフォームサービス「フォームメーラー」の紹介, ただネットビジネスのためでなく, 2010年4月20日
「フォームメーラー」を使って、友人のセミナー申し込みフォームを作ってみた。(略)運営元の組織の検証を行った上で証明書を発行しているので、安心して個人情報の通信ができる。
[VeriSign Secured Sealの例]
米国のVerSign社は、こうした不正なシール使用をやめさせる通報窓口を設けているが、日本ベリサインはそうした取り締まりをしないのだろうか。こういう使われ方を放置したり、「ベリサイン社のSSL」といった幻想が広がるのを(これ幸いとばかりに)放置すれば、結局はいずれ、VeriSignブランドの信用低下を招くのではないか。
もっとも、VeriSignの証明書発行事業は、Symantecに買収されることになったそうで、シールもSymantecのロゴに変更されるらしい。この際、わけのわからないシールの幻想から、バッサリおさらばした方がいいのではないか。「シマンテック社のSSL暗号化通信」という表現は胡散臭い。
- ASCII.jp:シマンテック、ベリサインの事業買収でピースを埋める, ASCII.jp, 2010年5月21日
シマンテックの買収後はベリサインのブランドを統合した、プレミアムの高いブランドを醸成していくとのこと。そのため、買収後にはロゴの変更も行なわれ、ベリサインロゴのチェックマークがシマンテックロゴに統合される予定となっている。
もし今後、シマンテックがSSLについて少しでも虚偽を含む解説を出してきたら、私は厳しく追求していくつもりだ。
*1 したがって、ドメイン名や会社名が著名で、元々よく知られた企業が、VeriSignシールを貼っている場合があるとすれば、マヌケだと思う。
高木浩光@自宅の日記の「「VeriSignシール」という幻想」から気になった点を
「シールの意味が正しく理解されておらず、不正に貼られている..
- はてなブックマークコメント ×126 : 98, 23, 3, 1, 1 (2022-11-17)
- https://www.bing.com/ ×4 (2017-09-15)
- はてなブックマークコメント [s/knowledge.symantec.com/jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=INFO4287&actp=RSS&viewlocale=ja_JP&locale=ja_JP&redirected=true] ×5 (2017-03-28)
- https://www.google.co.jp ×59 (2015-08-25)
- スラドjournal [bero] ×86 : 85, 1 (2015-08-10)
- スラッシュドットjournal [bero] ×232 : 186, 27, 10, 2, 2, 2, 1, 1, 1 (2015-02-04)
- スラッシュドット ×452 : 428, 10, 9, 1, 1, 1, 1, 1 (2015-01-07)
- Tumblr [uinyan] ×4 : 1, 1, 1, 1 (2014-08-18)
- http://www.bing.com/search?q=ジオトラスト ベリサイン 違い&qs=n&form=QBRE&... ×5 (2013-08-29)
- http://readytobarrel.com/blog/archives/58 ×5 (2012-12-03)
- http://readytobarrel.com/blog ×491 (2012-04-19)
- http://core.group.csk.com/km/servlet/jp.co.realcom.km3.devel... ×7 (2011-01-19)
- はてなキーワード [オレオレ証明書] ×7 (2010-08-10)
- Twitter [k_katsumi] ×3 : 2, 1 (2010-07-06)
- http://staff.ekzm.co.jp/blog/ ×4 (2010-06-10)
- Twitter [wdscratch] ×3 : 2, 1 (2010-06-07)
- Twitter [agzmtr] ×2 : 1, 1 (2010-06-07)
- http://staff.ekzm.co.jp/blog/item/1961 ×7 (2010-06-03)
- http://ameblo.jp/cruel1969/entry-10513520189.html ×30 (2010-05-31)
- Tumblr [jugyo] ×17 (2010-05-31)
- Twitter [hatebu] ×36 : 30, 4, 2 (2010-05-30)
- beryl.bug.co.jp/~bem tdiary ×6 (2010-05-30)
- http://www.underforge.net/2010/05/30/2010-05-30-sun/ ×6 (2010-05-30)
- ベリサインシール ×75 / ベリサイン シール ×37 / verisign ×28 / キーワード不明 ×24 / 高木浩光 ×18 / verisign シール ×13 / VeriSign ×9 / ジオトラスト ベリサイン 違い ×8 / ベリサイン ジオトラスト 違い ×6 / 高木浩光 ベリサイン ×6 / ベリサイン シマンテック ×5 / フォームメーラー 安全性 ×5 / ベリサインマーク ×5 / ベリサイン ロゴ ×5 / verisignシール ×5 / ベリサイン シール 追加 ×5 / Verisign ×4 / シール ×4 / セキュアドシール ×4 / 運営者を証明する ×3 / ベリサインマーク 意味 ×3 / veri sign ×3 / ssl シール ×3 / ベリサイン 違い ×3 / フォームメーラー 信用 ×3 / SSL シール ×2 / EV証明書 高木 ×2 / 日本ベリサイン シール ×2 / オレオレ証明書 高木 ×2 / シマンテック シール設置方法 ×2 / ベリサイン 証明書 確認方法 ×2 / ベリサイン シール シマンテック ×2 / ベリサインシール 使用 ×2 / ベリサインSSLシール ×2 / SSLシール ×2 / フォームメーラー ベリサイン ×2 / ニセのベリサイン ×2 / ベリサイン 意義 ×2 / -hiromitsu.jp ssl ×2 / VeriSign Secured Seal httpsでない ×2 / 日本ベリサイン ロゴ変更 ×2 / ベリサイン SSL ×2 / シマンテック ベリサイン ×2 / ネットショップ ベリサイン ×2 / ベリサイン ×2 / ベリサイン社 ×2 / 認証局 ベリサイン マーク ×2 / 幻想 ×2 / ssl シール 意味 ×2 / ベリサインシール 必要 ×2 / 高木 VeriSign ×2 / ベリサイン シールはシマンテックになる ×2 / ベリサイン 高木 ×2 / べりサインシール ×2 / symantec verisign ×2 / verisign seal ×2 / ssl シール 必要 ×2 / 高木浩光 フォームメーラー ×2 / 自分のブログに ベリサインマーク ×2 / ベリサイン社…? ×2 / シールメーラー ×2 / フォームメーラー 使っている企業 ×2 / 高木浩光 Symantec ×2
