【EV認証とは】取得方法や企業認証との違い・確認方法を紹介

近年はWebサイトをSSL化する企業が増えています。SSLについて調べていくと、認証の厳格さによってSSLに必要なSSLサーバー証明書にはレベルがあることに気づくでしょう。このレベルの中でも、最も厳格な手続きを行うサーバー証明書の認証がEV認証です。今回はこのEV認証について、メリットや用途、他の認証との確認・取得方法の違いを紹介します。

WebMedia参考記事

SSL/TLSとは？意味や仕組みを基礎からわかりやすく解説！

https://www.itra.co.jp/webmedia/ssl_website_security.html

「保護されていない通信」の表示があるWebサイトを見たときに、どうして警告が出ているのか、何がセキュリティ上危険なのかが...

EV認証とは？

SSLサーバー証明書とは

そもそもSSL(Secure Sockets Layer)サーバー証明書とは、Webサイトのドメインの実在を証明し、インターネットの暗号化通信を行う電子証明書です。SSLサーバ証明書は、ドメインの実在を証明する手続きの厳格さによって3つの種類に分けられます。またSSLサーバー証明書には、それぞれブラウザとサーバー間などの通信内容を暗号化するための鍵が含まれています。

EV認証とは

EV認証とはExtended Validation Certificateの略で、SSLサーバー証明書の中で最も身元承認の手続きが厳格な認証です。企業の実在を証明する認証なので、個人がEV認証を取得することはできません。企業が取得できる認証には、他にOV認証がありますが、EV認証はOV認証よりも厳格な認証ですので、EV認証の方が承認手続きに時間がかかります。OV認証や他の認証については後ほど詳しくご紹介します。

EV認証の承認基準

EV認証は、全世界の認証局(CA)やブラウザを所有する企業で設立されたCA/ブラウザフォーラムという業界団体において、2005年に認証基準などが検討され始めました。そして2007年にはガイドラインが作られ、各認証局がEV認証の提供を開始しました。このようにEV認証は、全世界の認証局やブラウザベンダーによって統一された基準で発行される唯一の認証です。

EV認証の用途

EV認証は主に銀行や金融、EC関連のWebサイトに使用されることが多いです。これらの職種のWebサイトでは、ユーザーの口座番号などの重要な個人情報のデータをやり取りしているので、改ざんやなりすましによる犯罪防止のために厳重な認証が求められます。

認証の種類

先ほど少しご紹介しましたが、SSLサーバー証明書には3つの種類があります。証明書発行の手続きが厳格な順に「EV認証」、「OV(企業)認証」、「ドメイン認証」です。

OV(企業)認証とは

OV(企業)認証とは、Organization Validationの略で、以下の項目の確認を経て発行されます。

• Webサイトの管理者のドメイン所有権
• ドメインを所有する企業の実在性
• 実在性が確認された企業が申請しているかどうか

認証局はこれらの項目を確認するために、OV認証の申請企業に対して第三者データベースで企業の実在性を確認し、さらにインターネットを介さない電話による確認を行います。

EV認証とOV(企業)認証の違い

EV認証とOV認証の違いは、企業の実在性確認のための手続きの厳格さと、アドレスバーの表記です。EV認証はOV認証と同様に、企業の実在性を確認するために、第三者データベースや電話による企業の実在性を行います。

しかし、第三者データベースにおいて企業の法的実在性を確認するOV認証に対し、EV認証は登記事項証明書と第三者データベースを用いて、企業の法的実在性だけでなく、物理的実在性も確認しています。また、企業や組織の設立から時間の経っていない企業の実在性の確認は他の企業に比べてより慎重に行うなど、EV認証の発行手続きはOV認証より厳格です。

DV(ドメイン)認証とは

ドメイン認証とは、Domain Validationの略でDV認証とも呼ばれます。ドメイン認証は、ドメインの所有者とドメイン認証の申請者が同一であるかを確認した上で発行されます。個人でも申請することが可能です。また、書類や電話での実在確認が不要なので、インターネット上で時間をかけずに発行できます。

OV(企業)認証とドメイン認証の違い

OV認証とドメイン認証の違いは、企業の実在性確認の有無とSSLサーバー証明書への企業名・住所記載の有無です。しかし、ドメイン認証では認証の申請者とそのWebサイトの運営者の同一性を照合をしていないので、ユーザーはそのWebサイトが本物かどうかを確認することができません。

OV認証は認証の申請者とドメイン取得者、つまりWebサイトの運営者が同一かどうかの確認に加えて、企業名・住所などの情報を登録しています。証明書にはそれらの企業情報が記載されるので、OV認証はドメイン認証に比べてWebサイトの信用性を高めます。

【コラム】各認証の暗号化強度の違い SSLサーバー証明書の各種認証について、信用性に違いがあると紹介しました。ですが、信用性が高いからといって、セキュリティが高いわけではありません。実は、暗号化の方法は認証局によって異なりますが、それぞれの認証の暗号化強度はどれも同じです。 第三者(認証局)によって企業の実在性が証明されていることや、厳格な手続きを経ているということがWebサイトの信用性を向上させています。

EV認証のメリット

それでは、EV認証の主なメリットを2つ紹介します。

信頼を獲得できる

EV認証の1つ目のメリットは、EV認証を取得していることによって、Webサイトへの信頼度が高まる点です。EV認証は全世界共通の認証基準の元、厳格な企業の存在性の確認を経て発行されるので、高い信頼を獲得できます。また、第三者(認証局)がドメインや企業の存在を証明しているという点も信用につながっています。

フィッシング詐欺対策になる

EV認証の2つ目のメリットは、通信内容を暗号化し、企業の実在性を証明することでフィッシング詐欺の対策ができるという点です。フィッシング詐欺の他に、暗号化通信はWebサイトのデータの改ざん、企業の実在証明はなりすましも防止できます。

フィッシング詐欺とは

フィッシング(Phishing)詐欺とは、IDやパスワード、クレジットカード番号などの個人情報を入手して悪用するインターネット詐欺のことです。フィッシング詐欺の種類は大きく2つあります。1つは、URLを本物に似せてフィッシングサイトに誘導する方法です。2つ目は、不特定多数にメールを送信してフィッシングサイトに誘導する方法です。フィッシングサイトに誘導した後ログインやクレジットカード番号などの個人情報の入力を求めて、その情報を元に不正送金やECサイトで商品を購入・換金します。

フィッシング詐欺対策としてのEV認証

EV認証などのSSLサーバー証明書を発行することは、フィッシング詐欺の対策になります。なぜなら、OV認証やEV認証は企業に対して電話で申請の意思確認を行っているので、偽物のフィッシングサイトはこれらの認証を受けることができないからです。EV認証で暗号化通信の対応や企業の実在性を証明していれば、本物に似せたフィッシングサイトが登場しても、ユーザーは認証の有無や違いで本物のWebサイトを見分けられるようになります。

SSLサーバー証明書の表示方法の変更

さらに最近では、Google Chromeがユーザーの個人情報を保護するために、アドレスバーの表示方法を変更するという動きがあります。これまでドメイン認証を取得したWebサイトのアドレスバーにも「この接続は保護されています」という表記がされていました。しかし最近のアップデートによって、EV認証を取得したWebサイトでさえもアドレスバーの「この接続は保護されています」の表示がなくなりました。

その代わりとして、認証を取得していない非SSL化のWebサイトのアドレスバーに「保護されていない通信」や「このサイトへの接続は保護されていません」といった表示がされるようになりました。

このような表示方法の変更によって、よりOV認証やEV認証を取得しているWebサイトの信頼性が高まり、反対に取得していないWebサイトへの信用は下がりました。このアドレスバーの表示は非SSL化のフィッシングサイトへの対策にもなっています。

EV認証のデメリット

それでは、EV認証の主なデメリットを2つ紹介します。

発行に時間がかかる

EV認証の1つ目のデメリットとして、EV認証の発行までに長い時間がかかるという点が挙げられます。EV認証は他の認証に比べて手続きに必要な書類が多く手順も複雑なため、その分時間や費用がかかります。印鑑証明や複数書類の発行、電話確認などが必要なので、EV認証の発行には一定の期間を想定しておくとよいでしょう。

ワイルドカード証明書が利用できない

EV認証の2つ目のデメリットは、EV認証の認証基準の厳格さから、ワイルドカード証明書を利用することができない点です。SSLサーバー証明書は、コモンネームと呼ばれる「https//」以下から「/」までの間のURLごとに発行が必要です。例えば、このWebMediaであれば「www.itra.co.jp」の部分がコモンネームに当たります。そのため、ドメインが異なったり、サブドメインがある場合は、それぞれ新たにSSLサーバー証明書の発行が必要になります。

ワイルドカード証明書とは、サイト運営者の所有する複数のWebサイトのうち、サブドメインが同一であるWebサイトをアスタリスクで表記して登録することで、1通のSSLサーバー証明書で複数のWebサイトに証明書を発行できる仕組みです。例えば「*.itra.co.jp」のようにアスタリスクでサブドメインにあたる階層を表記すれば、コモンネームが「itra.co.jp」である全てのサブドメインそれぞれにSSLサーバー証明書を発行する必要がなくなります。

しかしEV認証では、このワイルドカード証明書が利用できません。そのため複数のWebサイトでEV認証を取得したい場合はそれに応じた数のEV SSLサーバー証明書が必要となり、コストも大きくなります。しかし認証局によってはマルチドメイン証明書を採用しているところもあります。

【コラム】マルチドメイン証明書とは？ マルチドメイン証明書とは、SANs(Subject Alternative Names)証明書とも呼ばれ、1通で複数のドメインに適用することができる証明書です。 複数サイトのSSL運用が1通のSSLサーバー証明書でできるので、有効期限の管理や更新の手続きも一度で済みます。 さらに、ワイルドカード証明書は複数のサブドメインに対して利用できる一方で、マルチドメイン証明書はコモンネームとして設定したドメイン名とは全く異なるドメイン名も利用可能です。 しかしワイルドカード証明書に比べると設定できるドメイン数は、通常3~5個と限られてる場合が多いというデメリットも存在します。

EV認証の確認方法

EV認証とDV(ドメイン)認証・OV(企業)認証の違いは紹介しましたが、実際に自社サイトや競合サイトがどの種類の認証に対応しているのかはどこを見れば確認できるのでしょうか。

EV認証を取得しているWebサイトの確認方法は、ブラウザの仕様によって主に以下の3つの場合に分けられます。

1. アドレスバーの左にWebサイトを運営する組織名が記載されている
2. アドレスバーの左にある南京錠マークのバルーンに表示される証明書(有効)の欄にWebサイトを運営する組織名が記載されている
3. アドレスバーの左にある南京錠マークをクリックすると表示されるポップアップから証明書を開くと、Webサイトを運営する組織の所在地・国名・組織名が記載されている

1つ目の場合であれば1クリックでEV認証を取得してるWebサイトかどうかを見分けることができます。しかし2つ目の場合では、証明書を開くことが必要です。

それでは、EV認証などのSSLサーバー証明書の種類やその認証が有効かどうかを確認する方法を、以下のブラウザごとに紹介します。

• Google Chrome
• Safari
• Mozilla
• Firefox
• Internet Explorer
• Microsoft Edge
• Safari (スマホ版)
• Google Chrome (スマホ版)

また、EV認証をはじめ、SSL化対応済みのWebサイトの表示方法は近年頻繁に変更されています。今後も変更となる可能性は高いので、最新情報を確認してみてください。

PC版におけるEV証明書の見分け方

EV証明書は、一般的にアドレスバーの左にある南京錠マークのバルーンを開いて確認することができます。

Google Chromeでの確認方法

Google Chrome(Google Chrome 77)では1クリックでEV認証に対応しているWebサイトを見分けることが可能です。

以下のようなアドレスバー左にある南京錠マークをクリックすると、バルーンが表示されます。そのバルーンの証明書(有効)の欄に企業名が表示されているWebサイトはEV認証を取得しているWebサイトです。

このように、EV認証に対応しているWebサイトは、アドレスバーの左にある南京錠マークのバルーンを開くと証明書(有効)の欄に企業名が表示されています。

【コラム】Google Chromeの仕様変更 「Google Chrome 77」以前のバージョンでは、南京錠マークのバルーンを開かなくてもアドレスバーを確認するだけでEV認証を取得しているWebサイトかどうかを見分けることができました。 しかし「Google Chrome 77」以降のバージョンでは、各認証のアドレスバーのみでEV認証を取得しているWebサイトかどうかを区別できなくなりました。現在では、アドレスバー左の南京錠マークをクリックすると表示されるバルーンを確認することで、EV認証を取得しているWebサイトかどうかを見分けることができます。

Safariでの確認方法

SafariでのEV認証に対応しているWebサイトの確認方法は以下の通りです。

Safariではアドレスバーの左にある南京錠マークをクリックすると上のようなポップアップが表示されます。EV認証対応のWebサイトの場合、ポップアップには以下の項目が記載されています。

• Webサイトのドメイン名
• Webサイトを運営する組織の所在地
• Webサイトを運営する組織の国名
• Webサイトを運営する組織名

Safariでは、上記の項目がポップアップに記載されている場合、そのWebサイトがEV認証を取得していると見分けることができます。

Mozilla Firefoxでの確認方法

Firefoxでは、EV認証を取得しているWebサイトであれば、以下のように南京錠マークをクリックすると証明書の発行先に法的な企業名や組織名が表示されます。

このようにFirefoxでは、1クリックでそのWebサイトがEV認証を取得しているかどうかを確認することができます。

Internet Explorerでの確認方法

EV認証を取得しているWebサイトをInternet Explorerで閲覧すると、以下のようにアドレスバーに企業名の英語名称が緑色で記載されます。

このように、Internet ExplorerではEV認証を取得しているWebサイトをアドレスバーの表示を見るだけで確認が可能です。

Microsoft Edgeでの確認方法

Microsoft Edgeでは、EV認証を取得しているWebサイトの南京錠マークをクリックしてバルーンを開くと、以下のように証明書(有効)の欄に組織名が表示されます。

このようにMicrosoft Edgeでは、1クリックでEV認証を取得しているWebサイトかどうかを見分けられます。

スマホでのEV認証の見分け方

ここまでPC版における様々なブラウザでのEV認証の見分け方をご紹介しました。ここからスマホ版の紹介をしたいところではありますが、スマホ版では「SSL化をしているかどうか」は確認することができますが、「EV認証をしているかどうか」は残念ながら確認する術は現状ありません。

Safari (スマホ版)での確認方法

EV認証を取得しているWebサイトをスマホ版で閲覧すると、以下のような南京錠マークが表示されます。しかしスマホ版では南京錠マークをクリックすることはできないため、EV認証を取得しているWebサイトかどうかは見分けることができません。

Google Chrome (スマホ版)での確認方法

Google Chromeのスマホ版でも同様です。

EV認証の取得方法

EV認証取得の手順や必要な書類などを紹介します。

EV認証取得の手順

EV認証取得の手順は以下の通りです。

1. 申し込み
2. 書類提出
3. 法的実在性確認
4. ドメイン所有者情報照合
5. 物理的実在性確認
6. 電話での本人確認
7. 証明書発行
8. 支払い

EV認証の場合、電話確認は複数回行われることがあります。

EV認証取得に必要な書類

EV認証の取得に必要な書類は主に4つです。

• CSRの生成
• 登記事項証明書(登記簿謄本)または履歴事項全部証明書
• WHOISデータベース
• 第三者データベース

CSR

CSR(Certificate Signing Request)とは、認証局への署名リクエストの際に必要な電子書類です。CSRはどのレベルの証明書の発行手続きにも必要な書類です。CSRは、通信内容の暗号化に使用する秘密鍵とSSLサーバー証明書の仲介役となって、証明書の生成を助けます。

CSRにはディスティングイッシュネームと呼ばれる、企業が指定する企業情報が含まれています。認証局がEV認証を発行後にCSRへ署名することで、SSLサーバー証明書が発行され、企業情報や認証局の情報が明記されます。CSRには、一般的に下記の事項を記入します。

• URL
• 組織名(英語名称)
• 部署名
• 組織所在地の市区町村名
• 組織所在地の都道府県名
• 組織所在地の国名(日本はJP)

登記事項証明書

登記事項証明書は、登記簿謄本をデータ化した書類のことで、履歴事項全部証明書や現在事項証明書などの種類があります。EV認証の申請に必要な書類は登記事項証明書、または履歴事項全部証明書です。

履歴事項全部証明書は、法務局に登録されている組織名や組織所在地、役員情報が記載された書類です。登記事項証明書や履歴事項全部証明書は、申請された組織情報と照会して法的実在性の確認に使用されます。

WHOISデータベース

WHOISデータベースとは、IPアドレスやドメイン名の所有者情報を検索できるサービスです。このWHOISデータベースで、申請された情報とドメイン所有者の情報を照合します。

第三者データベース

EV認証の取得には、第三者データベースの企業情報と申請情報との照合のため、企業の物理的実在性を確認できる書類やデータが必要です。第三者データベースとは、各企業の情報を元に企業識別番号の割り振りや情報公開を行う機関などを指します。具体的な第三者データベースは下記が挙げられます。

• 帝国データバンク
• DUNSナンバー
• 有価証券報告書
• 職員録
• オンライン電話帳(iタウンページなど)

【コラム】追加書類の提出 先述のEV認証取得に必要な書類で挙げた4つの書類で申請情報の照合ができなかった場合には、追加で以下のような書類の提出が求められることがあります。 定款 印鑑登録証明書 意見書 報告書

まとめ

今回はEV認証について確認方法や取得方法、メリット・デメリットを紹介しました。最近では、銀行や国の機関などだけでなく、オンラインショッピングなどのログインが必要な一般のWebサイトにもEV認証が普及しています。今後は常時SSL化の動きに合わせてEV認証もより広く一般的なWebサイトに使用されていくと予想されます。