すなばいじり

はてなブログを使って、トンピーを揃えるまで止めないブログ。ふっくらかわいい。

どうしてGoogleやfacebookのページのアドレスバーには企業名が出ないのですか?(EV証明書)

よくそこに気付きましたね。というエントリー。

 

hhiiu.hatenadiary.jp

 

アドレスバーのこの部分の事ですね。

facebook

 

 

Appleのサイトでは、このように表示されています。

Appleの

 

おまけとして、id:psneの開発環境なやつです。

psneの

 

どれも証明書の目的や発行先が少しずつ違います。

 

※このエントリーは、一つの疑問を平易な言葉で解説するために書かれています。そのため、実際の運用/解釈と乖離する場合があります。

 

アドレスバーに名前を出すのは、すごく厳しい条件

まずは、どうすればアドレスバーに名前が出せるEV証明書を取得できるのかを確認してみましょう。

一般的に、取得するには

  • サイトを持つ団体(主に会社)が存在していて、法律上でも実在する事になっている
  • ドメインの所有者が サイトを持つ団体
  • サイトのURLが唯一のものか
  • サイトを持つ団体の責任者などの公式な文書

などが確認されます。(登記簿や色々)

 

実際の登録に関しては、ここでは触れないので専門な人々にお任せしますが*1、この条件で先ほどの画像を確認すると、なぜEV証明書が利用できないかに気付くと思います。

 

画像:Appleの証明書は

発行先: appleid.apple.com

ですが、
画像:facebookの証明書は

発行先: *.facebook.com

となっています。

この「 *.  」は、「何でも当てはまるよ!」という意味になります。(ワイルドカード)
何でも当てはまる という事は、URLが一つに決める事ができず「サイトのURLが唯一のものか」というルールから外れてしまう事になります。

このため、証明書の登録にワイルドカードを利用しているGooglefacebookではアドレスバーに名前が出てこないのです。

 

それなら、全部のURLを登録すればいいよね?

管理するためのURLが1つや2つなど、少なければ良いのですが、たくさんのサービス(機能)を使えるようにしている場合は、ものすごくお金が掛かったり、人の手間や管理が大変になったりします。

maps.(地図) drive.(ファイル保管) mail.(メール)
news.(ニュース) plus.(コミュニケーション) …

例えば、Googleサブドメインをたくさん持っています。なるべく手間をかけずに、いつでも安全に利用するためには、1つの「何でもOK」な証明書を利用する方法が、お金もあまり掛からず一番簡単になります。

 

そういえば、変な数字があるよ?

OIDという、証明書が発行された企業が作成した「使い方やルール」に関する(ポリシー/規定)の書類の番号(のようなもの)です。*2

証明書の種類によっては、それが記載されていない事があります。(おまけとして出した画像の証明書には記載されていません。)

 

気になったところ

Googleの証明書は、基本的に数か月程度の有効期限で運用しているようです。

f:id:psne:20160213130508j:plain

以前確認した時も3か月だったと記憶していますが、検索して調べてみたところ、期間を短くすることで無効化された証明書のチェックをする期間や必要が少なくなる事と、簡単に更新するための手段が出来上がる為、解析・偽造される期間としては短すぎる(現実的ではない)為 という事のようです。

Google グループ

 

確かに、最近ではコマンドを幾つか入力するだけで最低限の証明書が導入できるような仕組みが出来上がっていたりするので、この分野は良い方向に進んでいけば良いと感じます。

 

更新作業は忘れやすいやつです。

 

*1:発行を依頼する会社のサポートへどうぞ

*2:ここはどう平易に表現すれば良かったのだろう