EVインジケーターの変遷
EV UI Moving to Page Info
Chrome 77(2019/09/10)以降、特定のウェブサイトでのExtended Validation証明書インジケーターの変更する通知した。
Chrome 76でEV証明書を使用しているウェブサイトにアクセスした場合 、URL バーの左側に次のような EV バー(組織名と国名コード2文字)を表示していた。
Chrome 77 以降、組織名と国名コード2文字は、鍵マークをクリックした後に表示される「サイト情報」に移動した。
サイト情報(Chrome77の場合)
サイト情報(Chrome104の場合)
経緯
Google 独自の調査と以前の学術研究の調査を通じて、Chrome セキュリティ UX チームは、EV UI が意図したとおりにユーザーを保護していないと判断しました (以下の参考資料を参照)。ユーザーは、EV UI が意味のある保護を提供するために必要なように、UI が変更または削除されたときに安全な選択 (パスワードやクレジット カード情報を入力しないなど) を行っていないようです。さらに、EV バッジは画面の貴重な領域を占有し、目立つ UI で紛らわしい会社名を頻繁に表示する可能性があり、安全な接続のためにポジティブではなくニュートラルな表示に向かう Chrome の製品の方向性を妨げます。これらの問題とその有用性が限られているため、ページ情報の方が適していると考えています。
EV UI を変更することは、この問題領域の理解における最近の進歩に照らして、ブラウザーのセキュリティ UI サーフェスを改善するための幅広いトレンドの一部です。2018 年、Appleは、iOS 12 および macOS 10.14 のリリースと同時に Safari への同様の変更を発表し、それ以来、そのように実装されてきました。
EV UI Moving to Page Info
その他のインジケーターの変更履歴
Marking HTTP As Non-Secure
HTTP を非セキュアとしてマークする
Evolving Chrome’s security indicators
進化する Chrome のセキュリティ インジケーター
Thursday, May 17, 2018
組織名の確認だけでは不十分な理由
2017 年 12 月、セキュリティ研究者の Ian Carroll は、EVサーバー証明書の発行プロセスの脆弱性 (証明書発行先組織名の衝突) を証明するためのテストを行った。
Carrollは、オンライン決済サービスの「Stripe, Inc」(https://stripe.com/)を装ったダミー サイト(https://stripe.ian.sh/)を作成した。(現在はアクセス不可。過去公開されていたページ。)
オンライン決済サービスの「Stripe, Inc」は、デラウェア州で法人登記されている。
EVサーバー証明書のサブジェクト CN = stripe.com O = Stripe, Inc L = San Francisco ST = California C = US serialNumber = 4675506 businessCategory = Private Organization jurisdictionStateOrProvinceName = Delaware jurisdictionCountryName = US
Carrollはケンタッキー州で「Stripe, Inc」と同じ名前の会社を登記した。
EVサーバー証明書の審査を通すためには、法人は正式な登録機関に登録され、承認されていることを証明する必要がある。
当時、認証局であるSymantecは、企業の存在と登録を確認するために、ビジネス分析会社Dun & Bradstreetなどのサードパーティ データベースを使用していた。
身元確認は Dun & Bradstreet に委託されていたのだった。
Ian Carroll の研究の重要な発見は、個人の身元確認の欠如であった。
Carrollは、CA/Browser Forum のBaseline Requirementsが一貫して運用されていないことを発見した。
Dun & Bradstreet は、第三者の住所を使用した登録申請を拒否すると述べているが、第三者の住所を使用した Carroll の申請を受け入れていた。
Baseline Requirementsの古いバージョンでは、「高リスクの証明書リクエスト」にフラグを立てることが求められている。たとえば、「フィッシングリスクの高い名称」、「以前に拒否された証明書または失効された証明書に含まれる名称」等を含むアプリケーションであるが、これらの基準が厳格に運用されていないことは明らかであった。
Carrollによると、法人設立に必要な労力はほとんどなく、テストにかかった費用は 177 ドルで、うち 100 ドルが登記費用で、77 ドルがサーバー証明書発行費用であったようである。
参照
ars TECHNICA
Nope, this isn’t the HTTPS-validated Stripe website you think it is
アメリカでの法人登記
アメリカでは、州ごとに会社法があり、それぞれの州で登記する。
そのため、別の州で登記すれば、問題なく登記されるというのが、 Ian Carrollのテストで実証されている。
また、既に登場した「Stripe, Inc」もそうであるが、すでに100 万を超える企業がデラウェア州で法人化されており、それには以下の理由が存在している。
- 登記のための出願料がわずか 90 ドルで、カリフォルニア、ニューヨーク、テキサスよりも安い。
- 消費税率が 0% の数少ない州の 1 つである。
- 法人税率が低く、一律8.7%である。
- デラウェアは米国の首都に近く、フロリダと同じ海岸にあり、ニューヨークから 2 時間の距離である。
- デラウェア州外での事業活動に対する所得税がゼロである。
参照:Mollaei Law
日本での法人登記
日本では、新たに登記したい商号が、すでに同一本店所在地で登記されている場合は、登記できない。そのため、同一の商号がすでに登記されていても、別の本店所在地であれば、登記できる。
証明書内のサブジェクトに記載された法人名以外に、ST(都道府県)、L(市区町村)、会社法人等番号(EV証明書のみ記載あり)を法務省のサイトや法人番号公表サイトで確認すれば、法人を特定できるが、そこまで確認する人が果たしてどれほどいるのだろう。
(※)会社法人等番号と法人番号の違いについてはこちら。法人番号は、12桁の基礎番号及びその前に付された1桁の検査用数字(チェックデジット)で構成される13桁の番号になる。
会社の登記をするときは、商号調査をする必要があります。
法務省 オンライン登記情報検索サービスを利用した商号調査について
(※1)商号調査とは
会社の登記については、既に登記されている他の会社と同一の「商号」であり、かつ、本店所在場所も同一である場合には、登記することができないとされています(商業登記法第27条)。
そのため、会社の登記の申請をする前に、設立等をしようとする会社と同一商号で、本店の所在場所も同一の会社が既に登記されていないかどうかを調査する必要があります。このような調査を「商号調査」と呼んでいます。
ただし、不正競争防止法では、同一の商号を使用し、混同を生じさせる行為を禁止し、差止請求、損害賠償を行うことが認められているため、差止請求、損害賠償請求を受ける可能性がある。
不正競争防止法(平成五年法律第四十七号)
第二条 この法律において「不正競争」とは、次に掲げるものをいう。一 他人の商品等表示(人の業務に係る氏名、商号、商標、標章、商品の容器若しくは包装その他の商品又は営業を表示するものをいう。以下同じ。)として需要者の間に広く認識されているものと同一若しくは類似の商品等表示を使用し、又はその商品等表示を使用した商品を譲渡し、引き渡し、譲渡若しくは引渡しのために展示し、輸出し、輸入し、若しくは電気通信回線を通じて提供して、他人の商品又は営業と混同を生じさせる行為
第三条 不正競争によって営業上の利益を侵害され、又は侵害されるおそれがある者は、その営業上の利益を侵害する者又は侵害するおそれがある者に対し、その侵害の停止又は予防を請求することができる。
2 不正競争によって営業上の利益を侵害され、又は侵害されるおそれがある者は、前項の規定による請求をするに際し、侵害の行為を組成した物(侵害の行為により生じた物を含む。第五条第一項において同じ。)の廃棄、侵害の行為に供した設備の除却その他の侵害の停止又は予防に必要な行為を請求することができる。
第四条 故意又は過失により不正競争を行って他人の営業上の利益を侵害した者は、これによって生じた損害を賠償する責めに任ずる。ただし、第十五条の規定により同条に規定する権利が消滅した後にその営業秘密又は限定提供データを使用する行為によって生じた損害については、この限りでない。
不正競争防止法(平成五年法律第四十七号)
EVサーバー証明書のサブジェクト
証明書サブジェクトの見方。(Chrome)
「この接続は保護されています」をクリックする。
「この接続は保護されています」をクリックする。
証明書ビューアで、「件名」を選択すると、サブジェクトが表示される。
以下3項目は、EVサーバー証明書のみの項目(フィールド)となる。
- businessCategory
- serialNumber
- jurisdictionCountryName
CN = FQDNが含まれる O = 組織名 L = 市区町村 ST = 都道府県 C = 国コード2桁 businessCategory = 民間組織:Private Organization 政府機関・地方公共団体:Government Entity serialNumber = 日本では会社法人等番号(12桁) jurisdictionCountryName = 国コード2桁
以下、認証局名は、アルファベット順で表示。
Cybertrust Japan
CN = www.cybertrust.co.jp O = サイバートラスト株式会社 L = 港区 ST = 東京都 C = JP businessCategory = Private Organization serialNumber = 0104-01-064771 jurisdictionCountryName = JP
DigiCert
CN = www.digicert.com O = DigiCert, Inc. L = Lehi ST = Utah C = US serialNumber = 5299537-0142 businessCategory = Private Organization jurisdictionStateOrProvinceName = Utah jurisdictionCountryName = US
GlobalSign
CN = www.globalsign.co.jp O = GMO GlobalSign K.K. STREET = 1-2-3 Dogenzaka L = Shibuya ST = Tokyo C = JP jurisdictionCountryName = JP serialNumber = 0110-01-040181 businessCategory = Private Organization
CN = www.globalsign.com O = GMO GlobalSign, Inc. STREET = 2 International Drive, Suite 150 L = Portsmouth ST = New Hampshire C = US jurisdictionStateOrProvinceName = New Hampshire jurisdictionCountryName = US serialNumber = 578611 businessCategory = Private Organization
SECOM Trust Systems
CN = www.secomtrust.net serialNumber = 011001040781 businessCategory = Private Organization jurisdictionCountryName = JP O = SECOM Trust Systems CO.,LTD L = Shibuya ST = Tokyo C = JP
SECTIGO JAPAN
CN = comodo.jp O = SECTIGO JAPAN, INC. ST = Tokyo C = JP businessCategory = Private Organization jurisdictionCountryName = JP serialNumber = 0100-01-115514