高木浩光＠自宅の日記

■ 「VeriSignシール」という幻想

オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。

後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。

その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実在証明付きサーバ証明書の提供も続けている。

VeriSignは、実在証明のないサーバ証明書を提供するGeoTrustを2006年に買収したことから、今では、3種類のサーバ証明書を提供することになった。その結果、その違いを説明する必要に迫られることとなり、日本ベリサイン社は、実在証明の意義を以下のように説明している。

• 認証方法の違いによる役割と活用場面（企業の実在性認証とオンライン認証）, 日本ベリサイン

実在証明を必要とするケースと不要なケースが説明されているが、付け加えて言えば、不特定多数向けのサービスであっても、ドメイン名が広く知られている場合には、実在証明はなくてもよいと思う。また、実在証明を本当に必要とする場面として、マイナーな中小企業が運営するネットショップのケースがあると思う。

基本的に、SSLで安全な通信（偽サイトへの送信を防ぐ意味を含めて）ができるのは、以前訪れたことのあるサイト（ドメイン名や会社名を覚えているサイト）か、元々運営者のことをよく知っている場合のいずれかである。初めて訪れたサイトで、運営会社のことをよく知らない場合、本来は安全な通信は実現しようがない。

しかし、そんなことを言えば、マイナーな中小企業はネットショップを運営できなくなってしまう。そこで、そのような場合に、実在証明付きのSSLサーバ証明書を使うことで、結果的に、そのサイトの運営者について、ある程度の信用性が確認できる……と考えることができる。

VeriSignが古くから「VeriSign Secured Seal（ベリサインセキュアドシール）」を提供しているのは、そうした状況における、運営企業の実在証明のためだったはずだ*1と私は思う。

というように、VeriSignシールは、SSL暗号化通信には何の意味もないとよく言われるけれども、一応、中小企業向けに運営者の実在証明として意義をなしていると思う。

ところが、シールの意味が正しく理解されておらず、不正に貼られている事例があるようだ。以下は、私が作成した入力フォームだが、本物のVeriSignシールが貼られている。（もちろん、ここに入力されたデータは私の手中に入る。）

図1: 個人が作成した入力フォームに本物のVeriSignシールが貼られている様子

シールをクリックすると、「フォームメーラー」という、誰でも無料で入力フォームを設置できるサービスの運営会社の名前が表示される。カード番号を盗むような入力フォームを設置されたとき、この会社は責任を負うつもりなのだろうか。

この「フォームメーラー」は、昨年6月27日の日記「EV SSLを緑色だというだけで信用してはいけない実例」でも取りあげた。その後、このサービスはEV SSLの提供を中止していた。

• フォームメーラー Pro-EV版 サービス終了のお知らせ, フューチャースピリッツ, 2009年8月24日

中止したのはよかったが、なぜ中止しなければならないのか、その意味を理解していなかったようで、その後、2009年9月から、VeriSignシールを貼付ける機能が付け加えられていた。

• 今回のアップデートで追加された主な機能, フューチャースピリッツ, 2009年9月8日

  入力画面にSSL シールを表示することができるようになりました。

そもそも「SSLシール」じゃなくて「VeriSignシール」だ。この会社はSSLが何なのかまるで理解していないようで、以下のように宣伝している。

図2: 「日本ベリサイン社のSSL暗号化通信対応」と書かれている様子

「ベリサインのSSL」などというものがあるわけじゃない。SSLは単なるプロトコルの名前であって、VeriSign社が発明したわけじゃないし、どこの証明書を使おうが暗号化の強さに関係ない。

加えて言えば、図2の画面に書かれている「全世界標準の認証ガイドラインに基づいて発行されるSSL証明書なので」というのは、EV SSLの説明であって、このサービスはもうEV SSLの提供をしていないのだから、これは虚偽の商品説明ということになる。

ちょっと自分の頭で考えてみたらどうだろうか。

どのくらいおかしい話かは、このサービスを紹介した以下の個人のブログでわかる。

• SSL・携帯対応のメールフォームサービス「フォームメーラー」の紹介, ただネットビジネスのためでなく, 2010年4月20日

  「フォームメーラー」を使って、友人のセミナー申し込みフォームを作ってみた。（略）運営元の組織の検証を行った上で証明書を発行しているので、安心して個人情報の通信ができる。

  [VeriSign Secured Sealの例]
  

米国のVerSign社は、こうした不正なシール使用をやめさせる通報窓口を設けているが、日本ベリサインはそうした取り締まりをしないのだろうか。こういう使われ方を放置したり、「ベリサイン社のSSL」といった幻想が広がるのを（これ幸いとばかりに）放置すれば、結局はいずれ、VeriSignブランドの信用低下を招くのではないか。

もっとも、VeriSignの証明書発行事業は、Symantecに買収されることになったそうで、シールもSymantecのロゴに変更されるらしい。この際、わけのわからないシールの幻想から、バッサリおさらばした方がいいのではないか。「シマンテック社のSSL暗号化通信」という表現は胡散臭い。

• ASCII.jp：シマンテック、ベリサインの事業買収でピースを埋める, ASCII.jp, 2010年5月21日

  シマンテックの買収後はベリサインのブランドを統合した、プレミアムの高いブランドを醸成していくとのこと。そのため、買収後にはロゴの変更も行なわれ、ベリサインロゴのチェックマークがシマンテックロゴに統合される予定となっている。

  

もし今後、シマンテックがSSLについて少しでも虚偽を含む解説を出してきたら、私は厳しく追求していくつもりだ。