/
506.txt
201 lines (158 loc) · 12.2 KB
/
506.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
[14] [DFN[[[EV SSL証明書]]]]は、 [[CA/Browser Forum]] の規定に基づく厳格な審査を経て[[発行]]される
[[TLS]] 向け [[PKIX]] [[証明書]]です。
;; [28] 一般的には [[DV]] や [[OV]] の[[証明書]]が広く用いられており、
[[EV]] はより高価で上級の[[証明書]]とされています。
* 仕様書
[REFS[
- [10] [CITE[Guidelines For The Issuance And Management Of Extended Validation Certificates]]
([TIME[2014-11-01 05:09:16 +09:00]] 版)
<https://cabforum.org/wp-content/uploads/EV-V1_5_2Libre.pdf>
-- [15] ([TIME[2014-11-01 05:09:16 +09:00]] 版) <https://cabforum.org/wp-content/uploads/EV-V1_5_2Libre.pdf#page=9>
]REFS]
* 定義
[16] [DFN[[RUBYB[EV証明書]@en[EV Certificate]]]]は、
EV 指針群 (>>10) で規定される [[subject information]] を同指針群に従い[RUBYB[検証]@en[validate]]した上で含めた[[証明書]]です [SRC[>>15]]。
* 要件
[18] [[EV証明書]]の次の欄に関して制約が規定されています。
[FIG(short list)[
- [CODE[[[organizationName]]]]
- [CODE[[[CN]]]]
- [CODE[[[dNSName]]]]
- [[証明書ポリシー]]
- [[妥当期間]]
]FIG]
;; [19] [[EV]] [[ワイルドカード証明書]]は禁止されています。
;; [20] [[IPアドレス]]を [CODE[[[CN]]]] とする [[EV証明書]]は認められていません。
[17] [[EV]] の指針群は [[BR]] を参照しており、 [[BR]] の要件に加えて [[EV]]
の要件が課されているようです。
[21] 次の概念が存在します。
[FIG(short list)[
- [[Application Software Supplier]]
- [[Issuing CA]]
- [[Root CA]]
- [[Subordinate CA]]
- [[Subscriber]]
- [[WebTrust EV Program]]
]FIG]
* レンダリング
[23] [[Webブラウザー]]は、 [[TLS]] [[サーバー証明書]]が [[EV証明書]]である時、
[[アドレスバー]]等で[[緑色]]を使って[[証明書]]に含まれる [[organizationName]]
を表示します。
;; [24] [[EV証明書]]であるかの判定については、[[証明書ポリシー]]を参照。
[25] どの[[Webブラウザー]]も似たような[[緑色]]の表示を行いますが、
[[EV Guidelines]] などで要求されているわけではないようです。
* 利用例
[REFS[
- [30] [CITE@ja[Twitter]] ([TIME[2016-04-15 14:25:28 +09:00]] 版) <https://twitter.com/>
- [67] [CITE[t.co / Twitter]] ([TIME[2016-05-20 10:34:29 +09:00]]) <https://t.co/>
- [31] [CITE@en[GitHub]] ([TIME[2016-04-15 14:25:47 +09:00]] 版) <https://github.com/>
- [54] [CITE@en[Launchpad]] ([TIME[2016-05-06 00:27:56 +09:00]]) <https://launchpad.net/>
- [49] [CITE@en[home — Bitbucket]] ([TIME[2016-04-18 14:25:11 +09:00]] 版) <https://bitbucket.org/>
- [51] [CITE@en[Cloud Application Platform | Heroku]] ([TIME[2016-04-18 14:45:43 +09:00]] 版) <https://www.heroku.com/>
- [62] [CITE[CloudFlare - The web performance & security company]] ([TIME[2016-05-10 09:01:47 +09:00]]) <https://www.cloudflare.com/>
- [37] [CITE@ja-jp[日本マイクロソフト - Official Home Page]] ([TIME[2016-04-18 13:46:11 +09:00]] 版) <https://www.microsoft.com/ja-jp/>
- [40] [CITE@en-US[Apple]] ([[Apple Inc.]] 著, [TIME[2016-04-18 13:57:28 +09:00]] 版) <https://www.apple.com/>
- [45] [CITE@ja[Mozilla Japan — ブラウザ Firefox とメールソフト Thunderbird]] ([TIME[2016-04-18 14:16:54 +09:00]] 版) <https://www.mozilla.jp/>
- [46] [CITE@en[Bugzilla Main Page]] ([TIME[2016-04-18 14:18:16 +09:00]] 版) <https://bugzilla.mozilla.org/>
- [55] [CITE@en[Welcome to Python.org]] ([TIME[2016-05-06 00:32:51 +09:00]]) <https://www.python.org/>
- [52] [CITE@ja[Dropbox]] ([TIME[2016-04-18 17:22:18 +09:00]] 版) <https://www.dropbox.com/>
- [53] [CITE@en[Sonic - Internet & Phone Service Provider]] ([TIME[2016-04-18 17:23:01 +09:00]] 版) <https://www.sonic.com/>
- [38] [CITE@en[Symantec - Global Leader In Next - Generation Cyber Security | Symantec Corporation]] ([TIME[2016-04-16 08:43:13 +09:00]] 版) <https://www.symantec.com/>
- [59] [CITE@ja[SSL サーバー証明書のサイバートラスト株式会社]] ([TIME[2016-05-09 21:27:04 +09:00]]) <https://www.cybertrust.ne.jp/>
[[非ASCII文字]]を使った [CODE[subject]]
- [61] [CITE[マルウェア対策、モバイル管理、情報漏えい対策、UTM、迷惑メール対策、フィルタリング、ファイアウォール、VPN | ソフォス]] ([TIME[2016-05-11 01:23:23 +09:00]]) <https://www.sophos.com/ja-jp.aspx>
- [69] [CITE@ja[Japan Vulnerability Notes]] ([TIME[2016-05-27 16:52:06 +09:00]]) <https://jvn.jp/index.html>
- [32] [CITE@ja[SBI証券―ネット証券最大手の証券会社。オンライントレードでの投資をしっかりサポート―]] ([TIME[2016-04-18 13:36:21 +09:00]] 版) <https://www.sbisec.co.jp/ETGate>
- [33] [CITE@ja[家計簿アプリ・家計簿ソフト「マネーフォワード」]] ([TIME[2016-04-18 13:37:09 +09:00]] 版) <https://moneyforward.com/>
- [34] [CITE@ja[SMBCダイレクト]] ([TIME[2016-04-18 13:38:05 +09:00]] 版) <https://direct.smbc.co.jp/aib/aibgsjsw5001.jsp>
- [36] [CITE[適時開示情報検索サービス]] ([TIME[2016-03-27 15:52:41 +09:00]] 版) <https://www.release.tdnet.info/>
- [35] [CITE@ja[マイナンバーカード総合サイト/トップページ]] ([[マイナンバーカード総合サイト]] 著, [TIME[2016-03-10 15:59:43 +09:00]] 版) <https://www.kojinbango-card.go.jp/index.html>
- [44] [CITE@ja[地方公共団体情報システム機構 地方公共団体情報システム機構]] ([TIME[2016-04-18 14:07:26 +09:00]] 版) <https://www.j-lis.go.jp/index.html>
- [39] [CITE@ja[ANA|航空券 予約・空席照会・運賃案内・国内線]] ([TIME[2016-04-18 13:49:08 +09:00]] 版) <https://www.ana.co.jp/>
- [50] [CITE@ja[JAL国内線-航空券 予約・空席照会・運賃案内-]] ([TIME[2016-04-18 14:26:14 +09:00]] 版) <https://www.jal.co.jp/>
- [41] [CITE@ja[livedoor ログイン]] ([TIME[2016-04-18 14:04:19 +09:00]] 版) <https://member.livedoor.com/login/>
- [47] [CITE[ログイン - niconico]] ([TIME[2016-04-18 14:20:12 +09:00]] 版) <https://account.nicovideo.jp/login>
- [42] [CITE@ja[Ponta.jpログイン|共通ポイント Ponta '''['''ポンタ''']''']] ([TIME[2016-04-18 14:08:06 +09:00]] 版) <https://www.ponta.jp/u/LWAS900/SLWAS900010.htm>
- [43] [CITE@ja[ログイン - T-SITE]] ([TIME[2016-04-18 14:09:31 +09:00]] 版) <https://tsite.jp/tm/pc/login/STKIp0001001.do>
- [56] [CITE@ja[指定されたページが見つかりません(エラー404): 楽天]] ([TIME[2007-12-06 13:14:12 +09:00]]) <https://books.step.rakuten.co.jp/>
- [48] [CITE@ja[現地の人から借りる家・アパート・部屋・バケーションレンタル・民宿予約サイト - Airbnb (エアビーアンドビー)]] ([TIME[2016-04-18 14:22:44 +09:00]] 版) <https://www.airbnb.jp/>
- [63] [CITE@en[Simple Domain Name Registrar - iwantmyname]] ([[iwantmyname, info@iwantmyname.com]]著, [TIME[2016-05-20 08:38:43 +09:00]]) <https://iwantmyname.com/>
- [64] [CITE@en[Domain Registration – International Domain Registration - Domain Hosting Service - SEO Shopping Cart Software Services - Search Engine Marketing Services - Design Services at RightWay Gate]] ([TIME[2016-05-20 08:41:36 +09:00]]) <https://www.rwgusa.com/>
- [71] [CITE@ja[GMOインターネット株式会社]] ([TIME[2016-06-13 18:22:24 +09:00]]) <https://www.gmo.jp/>
- [74] [CITE@ja[GMOペパボ株式会社]] ([TIME[2016-07-02 09:54:04 +09:00]]) <https://pepabo.com/>
[[非ASCII文字]]を使った [CODE[subject]]
- [72] [CITE@ja[ようこそ | Hitachi Data Systems]] ([TIME[2016-06-20 11:18:36 +09:00]]) <https://community.hds.com/welcome>
- [65] [CITE@en[Distance Education and Online Courses - Open Universities Australia]] ([TIME[2016-05-20 08:42:20 +09:00]]) <https://www.open.edu.au/>
- [68] [CITE[Medium]] ([TIME[2016-05-24 22:08:00 +09:00]]) <https://medium.com/>
- [66] [CITE@en[Creative Commons]] ([TIME[2016-04-28 08:30:43 +09:00]]) <https://wiki.creativecommons.org/wiki/Main_Page>
- [73] [CITE@nl[Boekwinkeltjes.nl]] ([[boekwinkeltjes.nl]]著, [TIME[2016-06-30 23:25:51 +09:00]]) <https://www.boekwinkeltjes.nl/login/>
]REFS]
* 関連
[8] 他に [[EV Code Signing]] があります。
* メモ
[1] [CITE@ja[Safari が EV SSL に対応。 - えむもじら]] ([TIME[2008-11-15 21:23:00 +09:00]] 版) <http://level.s69.xrea.com/mozilla/index.cgi?id=20081115_EVSSL>
[2] [CITE@ja-JP[高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例]]
([[高木浩光]] 著, [TIME[2010-05-01 20:11:44 +09:00]] 版)
<http://takagi-hiromitsu.jp/diary/20090627.html>
[3] [CITE@en-US[About EV SSL - CAB Forum]]
([TIME[2015-03-23 23:02:36 +09:00]] 版)
<https://cabforum.org/about-ev-ssl/>
[4] [CITE@en-US[EV SSL Certificate Guidelines - CAB Forum]]
([TIME[2015-03-23 23:02:58 +09:00]] 版)
<https://cabforum.org/extended-validation/>
[5] [CITE@en-US[About EV SSL - CAB Forum]]
([TIME[2015-04-02 12:00:53 +09:00]] 版)
<https://cabforum.org/about-ev-ssl/>
[6] [CITE@en-US[Extended Validation - CAB Forum]]
([TIME[2015-04-02 12:02:11 +09:00]] 版)
<https://cabforum.org/extended-validation-2/>
[7] [CITE@en-US[EV SSL Certificate Guidelines - CAB Forum]]
([TIME[2015-04-02 12:02:19 +09:00]] 版)
<https://cabforum.org/extended-validation/>
[FIG(quote)[
[FIGCAPTION[
[9] [CITE@en-US[EV Revisions Working Group - CAB Forum]]
([TIME[2015-04-02 12:11:18 +09:00]] 版)
<https://cabforum.org/current-work/ev-revisions-working-group/>
]FIGCAPTION]
> In 2013 the CA / Browser Forum’s Extended Validation Working Group was launched to review the current steps required to perform extended validation in accordance with the EV Guidelines.
]FIG]
[11] [CITE@en[Extended Validation Certificate - Wikipedia, the free encyclopedia]]
([TIME[2015-04-02 04:25:43 +09:00]] 版)
<https://en.wikipedia.org/wiki/Extended_Validation_Certificate>
[12] [CITE[Glossary/Validation - CAcert Wiki]]
([TIME[2015-04-04 20:25:58 +09:00]] 版)
<http://wiki.cacert.org/Glossary/Validation>
[13] [CITE@en[CA:Glossary - MozillaWiki]]
([TIME[2015-04-04 15:27:06 +09:00]] 版)
<https://wiki.mozilla.org/CA:Glossary>
[22] [CITE[Statement of the CA/Browser Forum Concerning the EFF’s SSL Observatory ]]
([TIME[2013-10-15 01:19:18 +09:00]] 版)
<https://cabforum.org/wp-content/uploads/EFF_SSL_Observatory.pdf>
[26] [CITE@en[539257 – EV enable thawte SHA256 root certificate]]
([TIME[2015-04-06 18:45:48 +09:00]] 版)
<https://bugzilla.mozilla.org/show_bug.cgi?id=539257>
[27] [CITE[Improving the Security of EV Certificates]]
([TIME[2014-12-09 01:45:27 +09:00]] 版)
<https://a77db9aa-a-7b23c8ea-s-sites.googlegroups.com/a/chromium.org/dev/Home/chromium-security/root-ca-policy/EVCTPlanDec2014edition.pdf?attachauth=ANoY7creQdl_nw3iooZHI19S3GfajdGlpsHpHhzW38dGOMtVKKJw5TBOtXuvSpXK91JOYJ_P2cEO4kbgfDeO52Jp3-tZ4L3cUeWRaunQ8666LJQ3BfO2z3ip6fye2GfWGAhgZGjF9I9Ia7S6oo1ZhsklwE3CHZf9YjqLqogX0T_sSUWQbb5oOJPeykh0OVGliBTboZSeUk0vdzoySQeVuPE00phXTnk-igsLD0xO9o_nP_Q5hZw3gWt8OFMgxDGTWhQRAHFkymILyFYEn9ES5gqCKjT4VKPjGQ%3D%3D&attredirects=0>
[29] 最近の [[Chrome]] は [[EV]] でも [[SHA-1]] だと、
緑色の表示ではなく素の [[HTTP]] と同じ表示になります。
[TIME[2015-12-21T04:12:15.600Z]]
[57] [CITE@en[921127 – In PSM don't provide EV treatment when cert includes wildcards in the alt-dns name and common name fields]]
( ([TIME[2016-05-08 21:49:14 +09:00]]))
<https://bugzilla.mozilla.org/show_bug.cgi?id=921127>
[58] [CITE@en[622589 – EV Violations cited by SSL Observatory]]
( ([TIME[2016-05-08 22:22:47 +09:00]]))
<https://bugzilla.mozilla.org/show_bug.cgi?id=622589>
[FIG(quote)[
[FIGCAPTION[
[60] [CITE[Security FAQ - The Chromium Projects]]
( ([TIME[2016-05-07 09:19:23 +09:00]]))
<https://www.chromium.org/Home/chromium-security/security-faq#TOC-What-s-the-story-with-certificate-revocation->
]FIGCAPTION]
>
> Chrome performs online checking for Extended Validation certificates if it does not already have a non-expired CRLSet entry covering the domain. If Chrome does not get a response, it simply downgrades the security indicator to Domain Validated.
]FIG]
[70] [CITE@en[Web Application Security Working Group F2F -- 16 May 2016]]
( ([TIME[2016-05-18 00:38:05 +09:00]]))
<https://www.w3.org/2016/05/16-webappsec-minutes.html#item04>