Extended Validation Certificates

EV SSL (PKI)

[14] EV SSL証明書は、 CA/Browser Forum の規定に基づく厳格な審査を経て発行される TLS 向け PKIX 証明書です。

[28] 一般的には DVOV証明書が広く用いられており、 EV はより高価で上級の証明書とされています。

仕様書

定義

[16] EV証明書 (EV Certificate) は、 EV 指針群 (>>10) で規定される subject information を同指針群に従い検証 (validate) した上で含めた証明書です >>15

要件

[18] EV証明書の次の欄に関して制約が規定されています。

[19] EV ワイルドカード証明書は禁止されています。
[20] IPアドレスCN とする EV証明書は認められていません。

[17] EV の指針群は BR を参照しており、 BR の要件に加えて EV の要件が課されているようです。

[21] 次の概念が存在します。

レンダリング

[23] Webブラウザーは、 TLS サーバー証明書EV証明書である時、 アドレスバー等で緑色を使って証明書に含まれる organizationName を表示します。

[24] EV証明書であるかの判定については、証明書ポリシーを参照。

[25] どのWebブラウザーも似たような緑色の表示を行いますが、 EV Guidelines などで要求されているわけではないようです。

利用例

関連

[8] 他に EV Code Signing があります。

メモ

[1] Safari が EV SSL に対応。 - えむもじら ( 版) http://level.s69.xrea.com/mozilla/index.cgi?id=20081115_EVSSL

[2] 高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例 (高木浩光 著, 版) http://takagi-hiromitsu.jp/diary/20090627.html

[3] About EV SSL - CAB Forum ( 版) https://cabforum.org/about-ev-ssl/

[4] EV SSL Certificate Guidelines - CAB Forum ( 版) https://cabforum.org/extended-validation/

[5] About EV SSL - CAB Forum ( 版) https://cabforum.org/about-ev-ssl/

[6] Extended Validation - CAB Forum ( 版) https://cabforum.org/extended-validation-2/

[7] EV SSL Certificate Guidelines - CAB Forum ( 版) https://cabforum.org/extended-validation/

[9] EV Revisions Working Group - CAB Forum ( 版) https://cabforum.org/current-work/ev-revisions-working-group/

In 2013 the CA / Browser Forum’s Extended Validation Working Group was launched to review the current steps required to perform extended validation in accordance with the EV Guidelines.

[11] Extended Validation Certificate - Wikipedia, the free encyclopedia ( 版) https://en.wikipedia.org/wiki/Extended_Validation_Certificate

[12] Glossary/Validation - CAcert Wiki ( 版) http://wiki.cacert.org/Glossary/Validation

[13] CA:Glossary - MozillaWiki ( 版) https://wiki.mozilla.org/CA:Glossary

[22] Statement of the CA/Browser Forum Concerning the EFF’s SSL Observatory ( 版) https://cabforum.org/wp-content/uploads/EFF_SSL_Observatory.pdf

[26] 539257 – EV enable thawte SHA256 root certificate ( 版) https://bugzilla.mozilla.org/show_bug.cgi?id=539257

[27] Improving the Security of EV Certificates ( 版) https://a77db9aa-a-7b23c8ea-s-sites.googlegroups.com/a/chromium.org/dev/Home/chromium-security/root-ca-policy/EVCTPlanDec2014edition.pdf?attachauth=ANoY7creQdl_nw3iooZHI19S3GfajdGlpsHpHhzW38dGOMtVKKJw5TBOtXuvSpXK91JOYJ_P2cEO4kbgfDeO52Jp3-tZ4L3cUeWRaunQ8666LJQ3BfO2z3ip6fye2GfWGAhgZGjF9I9Ia7S6oo1ZhsklwE3CHZf9YjqLqogX0T_sSUWQbb5oOJPeykh0OVGliBTboZSeUk0vdzoySQeVuPE00phXTnk-igsLD0xO9o_nP_Q5hZw3gWt8OFMgxDGTWhQRAHFkymILyFYEn9ES5gqCKjT4VKPjGQ%3D%3D&attredirects=0

[29] 最近の ChromeEV でも SHA-1 だと、 緑色の表示ではなく素の HTTP と同じ表示になります。

[57] 921127 – In PSM don't provide EV treatment when cert includes wildcards in the alt-dns name and common name fields ( ()) https://bugzilla.mozilla.org/show_bug.cgi?id=921127

[58] 622589 – EV Violations cited by SSL Observatory ( ()) https://bugzilla.mozilla.org/show_bug.cgi?id=622589

[60] Security FAQ - The Chromium Projects ( ()) https://www.chromium.org/Home/chromium-security/security-faq#TOC-What-s-the-story-with-certificate-revocation-

Chrome performs online checking for Extended Validation certificates if it does not already have a non-expired CRLSet entry covering the domain. If Chrome does not get a response, it simply downgrades the security indicator to Domain Validated.

[70] Web Application Security Working Group F2F -- 16 May 2016 ( ()) https://www.w3.org/2016/05/16-webappsec-minutes.html#item04

[91] [Managed PKI for SSL] Google Chrome57 のバグにより EV SSL 証明書の組織名がグリーン表示されない事象について | Symantec () https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?vproductcat=V_C_S&vdomain=VERISIGN.JP&page=content&id=INFO4287&actp=RSS&viewlocale=ja_JP&locale=ja_JP&redirected=true

[92] 705285 - EV evaluation breaks if "2.23.140.1.1" is present and the root is not enabled for it - chromium - Monorail () https://bugs.chromium.org/p/chromium/issues/detail?id=705285

[93] 497605 - Add Amazon EV Object Identifiers - chromium - Monorail () https://bugs.chromium.org/p/chromium/issues/detail?id=497605

[94] 東京都主税局が民間企業に.LG.JPドメイン名を切り売りする前代未聞の暴挙に——EV SSLの「東京都」も - Togetterまとめ () https://togetter.com/li/1104157

[96] EV証明書を使用して既知の企業になりすませる可能性が指摘される | スラド セキュリティ () https://security.srad.jp/story/17/12/15/2110233/

[97] Security FAQ - The Chromium Projects () https://dev.chromium.org/Home/chromium-security/security-faq#TOC-What-s-the-story-with-certificate-revocation-

[98] EV UI Moving to Page Info () https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md