という、取得が困難=信頼性の高いSSL証明書が
CA Browser Forum(米MicroSoft社を中心としたCA局・ブラウザ作成者の団体)で検討されているとのこと。
大きく変わるのは
技術的な部分より証明書発行のプロセスで
・3年未満の会社が取得するためにはCA局担当者が
法人の実態(看板が出ているとか)を目視確認する
なんていうことも定義されるようです。
現在はそういったCA局が証明書を発行する基準がつめられているそうです。
現在のSSL発行の確認レベルは大きく分けて2レベル
1)登記簿謄本で証明
手順的には登記簿謄本を送付するorTDBの企業コードを提示
2)ドメインを持っていることを証明
手順的には@deecorp.jpを管理している風なメールアドレスがあれば証明書が取れてしまう。
たとえばadmin@hoge.jp
とか root@hoge.jp
とか。
2)は俗にクイックSSLとかいわれている
簡易に暗号化通信を実現することに重きを置いたサービス
という位置づけで認識されています。
実際にその形でMountain Americaという団体が
mtnamerica.orgというサイトを持っているのですが、
悪意のある第三者にmountain-america.netという
証明書つきのPhishingサイトを作られたという事例があるとのこと。
手は込んでいますが、
こんなことも簡単にできることなのです。
High Assurance SSLのCA局として認可されるための
CA局運用レベルチェックなんていうのも定義されるようで、
こちらはRFCに登録されるとのこと。
Webtrust監査のPASSが必要とされるようで、
敷居は高いみたいです
最近、SSLを実装したPhishingサイト被害なんていうのも出ているようで
そういったサイトへの証明書発行基準が問われている中、
登場した技術/サービスであるようです。
技術的には次期VersionのIEに実装されるとのこと。
見た目で変わるところとして、
High Assurance SSLで保障されたサイトを表示しているときは
アドレスバーが緑色になる機能が実装されているようです
NET上の取引(B2B、B2C含め)がさらに発展していく上で
高度な実在性証明は不可欠なのだと思います。
ユーザーサイドのエクスペリエンスは充実してきましたが
両輪として保障・安心という面の発展も不可欠なんだと思います。
が、しかしどちらにしてもお金のかかる世界ですね。。