EV証明書の真似が可能なことが実証される

「いやいや、これはHTTPS確認済みの印はついてるけど、あなたの考えてるサイトじゃないよ」

arstechnica.com

Webサイトで使われるEV証明書は安全の印のように扱われたりしますが、有名サイトと似た名前の企業を作り証明書をとることで、なりすましが可能になることを研究者が確認しました。

https://stripe.ian.sh/

これが研究者(Ian Carrol氏)の作ったサイトですが、オンライン決済を扱うstripeとEV証明書の見た目が同じです(州が異なるため同一の社名が可能)。特にAppleSafariだと、デスクトップ版でも、EV証明書があるサイトのアドレスバーはそれだけになってしまい、見分けることが不可能となります。

ちなみにEV証明書については、3ヶ月前にも「Identity Verified」という名前の企業を登録することで、「公式確認済み」っぽい雰囲気を出すというアイデアも示されています。

URLやドメインでも、IDNを使うことで見た目がほぼ同様のサイトは作れるため、EV証明書だけが悪いというわけではないと思います。ただ、「EV証明書があるから安心」「アドレスバーは真実」と思い込まない注意深さが必要、ということでしょう。