そこでEV証明書がくるとは

ふとTwitterにログインしようとおもったら、アドレスバーに鍵マークと「Twitter, Inc (US)」と表示されてて、

あれ? TwitterもEV証明書使ってんの? ってびっくりした。


SSL証明書、HTTPSなどセキュアな通信には書かせないものですね。

僕もドメインを取得してからStartSSLが無料でSSL証明書を発行してくれるというからSSL証明書の発行を受けて使っている。
(参考記事 : オレオレじゃないSSL証明書を作りにいった)

このときにも書いたけれど、SSL証明書の値段というのは本当にいろいろで、無料のからかなり高いものまである。

これは主に実在性の確認という点で差別化されている。


僕が使っているStartSSLではどんなラインナップがあるのか、列挙してみると、

  • StartSSL Free
    無料で1年間有効の証明書を発行、ドメイン所有者であるかをE-mailで認証を行い確認し発行
  • StartSSL Verified
    59USDで2年間有効の証明書を発行、本人確認書類のディジタル写真により実在性を認証し発行
  • StartSSL Extended Validation
    199.90USDで2年間有効の証明書を発行、団体の実在性について認証を行って発行

認証のレベルによって値段が変わっているのが見てわかると思う。

StartSSLの証明書は全体的に格安なようだけど、そのStartSSLでもEV証明書は200USDぐらいする。

これがかの有名なVerisignでは1年で23万円、2年で45万円ぐらい。桁1つ違うし……

あ、ちなみにTwitterの証明書はVerisignでしたね。


まぁそんな具合でして、EV証明書って高いんですよね。

Verisignの証明書ってもともと高いけど、VerisignのEV証明書はEVでない証明書の倍ぐらいするからね。

ただ、EV証明書には高いけど、その分価値を見いだせるのは確か。

その最たるものがアドレスバーに緑色のバーになって団体名が表示されるということですね。

こうしてアドレスバーに表示されると言うことで視認性が高く、フィッシング詐欺対策に有効だと評価されている。


このEV証明書が活用されているところ、と言って思い浮かぶのが銀行だ。

ネットバンキングでフィッシング詐欺とか大問題ですからね。

ユーザーに対して、パスワードを入力するときはアドレスバーが緑になってるのを確認してから、など宣伝されていることも多い。

銀行はどうしても神経質にならざる得ないので、EV証明書の導入には特に積極的な印象だ。


ただ、TwitterってわざわざEV証明書用意する必要あったんですかね?

ユーザーがフィッシング詐欺の被害を受けたとして、E-mailアドレスやパスワードが盗まれることはあるだろうがそれぐらい。

確かに問題かも知れないけど、クレジットカード番号が盗まれるとかそういう財産に大きな被害を及ぼすものではないだろう。

銀行や通販サイトなら高い金を出してEV証明書を用意する価値はあるだろうけど、

うーん、Twitterなら別にEV証明書まではいらんよねって。


ちなみに通販サイトでもEV証明書が導入されてるところって少なくて。

Amazon.co.jp、ソフマップ、Yahoo!ショッピング、僕が使うところはどこも導入してないね。

そんな中でTwitterみたいなわりにどうでもいいサービスでEV証明書使ってるというのはかなり意外だった。

高いといっても10万円程度の話、せっかくだしEV証明書にしとくか、って担当者が考えただけかもしれないけど。

もしかしたら、今後、そういう発想でEV証明書を導入するサイトも増えるかも知れんね。