先日、職場の同僚がSSL証明書の取得手続きやってるの手伝いながら、あいかわらず本人確認手抜きだなあと思ったよ。こんな手続きでSSL証明書乱発しといて、「より安全なEV証明書を開発しました」って態度はどうなんだろ。

前回のEV証明書の件でいろいろと思うところあったんだけど、面倒だったのでそのまま放置。けっきょく考えをまとめるところまでたどり着いてないし、検証もしてないから間違えている箇所もあるだろうけど、一利用者の視点からはこうやって見えるし、なんとなくすっきりしない所がある。

信用調査はあいかわらず帝国データバンク、登記簿、電話確認、該当ドメイン管理者へのメールでの確認程度で済ませている様子。すこし知ってる人なら、回避策もいくつか思い浮かぶんじゃない？会社ごと買い取ったりとかね。あとSSL証明書だけに限らず、ちょっとした申請書等にかならず組織の最高責任者の印鑑を要求してくるコトがあるけど、数十人の組織と数万人の組織、あと申請者の組織内でのポジションによっては、手続きが全く異なる点は考慮してないのかな。他にもいくつか思いつく点はあるし。

発行者は直接申請者の元に出向くとか、それなりの調査組織作って独自に審査するといったコトはしないのだろうか。そりゃコストがかかるのは分かるけど、それに見合った安全性が確保されてるなら、申請者に説明できる余地もあるし、それだけ証明書のステータスも向上するんじゃないかな。

これで数年して、アドレスバーがシルバーやゴールドになってたら噴飯モノだ。

あー。そうそう。ウチの会社のとある部署がEV証明書取得してたよ。ウチは統括っぽい部門でインフラ提供してるんだけど、いろいろ手続き上の問題があってEV証明書は見送ったんだよな。この状況からも、やっぱり違和感受けるんだな。