SSL/TLSの重要な機能である実在証明とはなにか
SSL/TLSには暗号化の機能があることはこちらで説明しました。
SSL/TLS=暗号化
というのは、割とポピュラーな話なのですが、実は、SSL/TLSには暗号化だけでなく、もう一つ
重要な機能があるんです。
それが実在証明です。
実在証明とはなにか
SSL/TLSで暗号化ができることは分かりましたが、そのやり取りをしているウェブサイトの運営者が
実はフィッシングサイトを作った悪意のある人だったらどうなるでしょう?
ウェブサイトは今や誰でも手軽に安価で作成することができますし、YahooやGoogleはもちろんの事、AppleやMicrosoft、FaecbookやTwitterなどにそっくりなサイトを作成することも簡単にできちゃうんです。
SSL/TLSで暗号化がされているので、安心してデータのやり取りは出来るなんて思っていると、実はその先にいる人は「悪意を持った悪い人」なんてこともありえます。
悪い人とのデータのやり取りを暗号化して守ってもどうしようもないですね。。。
そこで必要となるのが実在証明。
実在証明とはそのサイトの監督会社が実在しているかを確認することです。
この実在証明により、そのサイトの運営者が本当に信頼できる運営者なのかを確認することができるのです。
どうやって実在確認するの?
でも、SSL/TLS通信していても実在証明の確認なんてした記憶ありますか。
普通はないと思います。
この件はずーっと昔からの課題でして、ブラウザベンダ、証明書を発行する認証局などでも議論されてきたものです。
その一つの解決法方法として、EV SSL証明書が登場しましたが、これも認証が厳しかったり、価格が高かったりして、正直いまいち普及してない状況だと思います。
それにそもそもドメイン認証の証明書は、証明書所有者の実在確認なんてしてませんから、浸透するわけもないのです。
実在証明の確認は、証明書の組織名(O)をチェックして、その組織名を見ることで行うことになりますが、その会社が分からなければ、、、、となってしまいますし。
コメント