HTTPS化（常時SSL化）とSSL証明書にまつわる議論

前提

DV認証

OV認証

EV認証

HTTPS化でできること

SSL暗号化通信

どの証明書でも可能

証明書の種類でSSL暗号化通信の強度は変わらない

組織実在証明

OV認証、EV認証で可能

コスト

EV認証 > OV認証 > DV認証

DV認証は無料～数万円

EV認証、OV認証は数万円～数十万円

HTTPS化に対する否定的な意見

特定企業へ権力が集中することへの忌避感

ブラウザ開発企業による規制／ルール作り

例）GoogleによるChromeでのHTTPS強制の動き

HTTPしか提供していない過去のWebサイトのコンテンツにアクセスできなくなる

事実上の焚書

認証局の存在によるWebでの自由な発信への干渉

認証局に金銭を払わないとWebサイトを持つことができなくなる

Webの多様性が失われる

認証局の利権化

認証局とリセラーに対する否定的な意見

ユーザーに対する優良誤認

“信頼性”という曖昧な売り文句

高いお金を払ったほうが“信頼性”が高いと言ってるが……

証明書の種類でSSL暗号化通信の強度は変わらない

組織実在認証に価値がある？？？

あんまり信頼性に寄与していないことが分かってきた

後述

「企業」という単語を多用して企業のIT担当者にOV認証、EV認証の証明書を買わせようとしている

DV認証も商用利用できる

Webサイトの内容や、得られる効果によって、OV認証やEV認証が必要か判断するべき

OV認証に意味はあるのか

あんまりない

あんまりないから、EV認証が生まれた

その後、EV認証も意味がないことが分かってきた（後述）

なら、最小限の組織実在証明だけしておけばいいか……という企業が増えて、OV認証が再び使われるようになってきた

EV認証に意味はあるのか

あるとされていた

EV認証だということがブラウザで一目で分かるようになっていた時代があった

アドレスバーや鍵マークが緑色に変化

アドレスバーの横に組織名と認証局の名前が表示

↑こういうのが企業のブランド力向上に繋がる！というのが証明書の販売代理店の売り文句だった

2018年の記事

2019年頃から、EV認証に意味がないことが定説になった

ブラウザから優遇されなくなった

証明書によってブラウザ上の見た目が変わらなくなった

OV認証、EV認証の証明書を導入した際に想定される、理想的なユーザーの行動

Webサイトごとに証明書の確認

アドレスバーの鍵マークをクリックし、証明書の内容から組織実在証明がされていることを確認

（あれば）サイトシールをクリックし、証明書の内容から組織実在証明がされていることを確認

問題

一般ユーザーが本当にこんな行動をとるのか

HTTPS通信や証明書に対する知識が必要

組織におけるDV / OV / EV証明の割合

DV認証 >> OV認証 >>> EV認証

Webサイトの信頼性を担保する方法（組織実在証明以外）

信頼できるソースからWebサイトにアクセスしてもらう

そもそも検索エンジンからWebサイトにアクセスしようとしているから、フィッシングサイトなどが表示される

会社のパンフレットや名刺から正規のWebサイトに直接アクセスすればよい

属性型・地域型JPドメイン名を使う

ドメインの取得に条件があるもの

例

co.jp

日本国内で登記を行っている会社

go.jp

日本の政府機関や各省庁所管の研究所、特殊法人、独立行政法人

自分が相談されたら答えること

HTTPS化は通信を暗号化するのが主な役割

証明書で信頼性云々は、おまけ

効果があるかは怪しい

認証局とリセラーのセールストークだということを理解して判断する必要がある

OV認証、EV認証を使うコストはかなり高い

証明書それ自体のコスト

サブドメインがある場合の、ワイルドカード、マルチドメインサーバ証明書にかかるコスト

組織実在証明にかかるバックオフィスのコスト

事実上、自動更新ができないことによる保守作業のコスト