よくそこに気付きましたね。というエントリー。
アドレスバーのこの部分の事ですね。
Appleのサイトでは、このように表示されています。
おまけとして、id:psneの開発環境なやつです。
どれも証明書の目的や発行先が少しずつ違います。
※このエントリーは、一つの疑問を平易な言葉で解説するために書かれています。そのため、実際の運用/解釈と乖離する場合があります。
アドレスバーに名前を出すのは、すごく厳しい条件
まずは、どうすればアドレスバーに名前が出せるEV証明書を取得できるのかを確認してみましょう。
一般的に、取得するには
- サイトを持つ団体(主に会社)が存在していて、法律上でも実在する事になっている
- ドメインの所有者が サイトを持つ団体
- サイトのURLが唯一のものか
- サイトを持つ団体の責任者などの公式な文書
などが確認されます。(登記簿や色々)
実際の登録に関しては、ここでは触れないので専門な人々にお任せしますが*1、この条件で先ほどの画像を確認すると、なぜEV証明書が利用できないかに気付くと思います。
画像:Appleの証明書は
発行先: appleid.apple.com
ですが、
画像:facebookの証明書は
発行先: *.facebook.com
となっています。
この「 *. 」は、「何でも当てはまるよ!」という意味になります。(ワイルドカード)
何でも当てはまる という事は、URLが一つに決める事ができず「サイトのURLが唯一のものか」というルールから外れてしまう事になります。
このため、証明書の登録にワイルドカードを利用しているGoogleやfacebookではアドレスバーに名前が出てこないのです。
それなら、全部のURLを登録すればいいよね?
管理するためのURLが1つや2つなど、少なければ良いのですが、たくさんのサービス(機能)を使えるようにしている場合は、ものすごくお金が掛かったり、人の手間や管理が大変になったりします。
maps.(地図) drive.(ファイル保管) mail.(メール)
news.(ニュース) plus.(コミュニケーション) …
例えば、Googleはサブドメインをたくさん持っています。なるべく手間をかけずに、いつでも安全に利用するためには、1つの「何でもOK」な証明書を利用する方法が、お金もあまり掛からず一番簡単になります。
そういえば、変な数字があるよ?
OIDという、証明書が発行された企業が作成した「使い方やルール」に関する(ポリシー/規定)の書類の番号(のようなもの)です。*2
証明書の種類によっては、それが記載されていない事があります。(おまけとして出した画像の証明書には記載されていません。)
気になったところ
Googleの証明書は、基本的に数か月程度の有効期限で運用しているようです。
以前確認した時も3か月だったと記憶していますが、検索して調べてみたところ、期間を短くすることで無効化された証明書のチェックをする期間や必要が少なくなる事と、簡単に更新するための手段が出来上がる為、解析・偽造される期間としては短すぎる(現実的ではない)為 という事のようです。
確かに、最近ではコマンドを幾つか入力するだけで最低限の証明書が導入できるような仕組みが出来上がっていたりするので、この分野は良い方向に進んでいけば良いと感じます。
更新作業は忘れやすいやつです。
