「Extended Validation 証明書」表示がChromeとFirefoxから消滅へ

Google ChromeやMozilla Firefoxで、URLバーの左端に出ている「Extended Validation 証明書」の表示が取り除かれる予定であることがわかりました。この「EV証明書」は本来、サイトの信頼性の高さを示すための仕組みであり、ユーザーにとって重要な存在となるはずでしたが、あまり役立たなかったようです。

Troy Hunt: Extended Validation Certificates are (Really, Really) Dead
https://www.troyhunt.com/extended-validation-certificates-are-really-really-dead/

Upcoming Change to Chrome's Identity Indicators - Google グループ
https://groups.google.com/a/chromium.org/forum/m/#!msg/security-dev/h1bTcoTpfeI/jUTk1z7VAAAJ

Google Chromeではこれまで、URLバー左端に「EV証明書」バッジを表示し、証明書がどの組織に対して発行されたものなのかを国名とともに表示してきました。

しかし、Chrome 77ではURLバー左端の鍵アイコンをクリックして開いたところに、ページ情報とともに表示されるようになるとのこと。

Intent to Ship: Move Extended Validation Information out of the URL bar - Google Groups
https://groups.google.com/forum/m/?fromgroups&hl=en#!topic/firefox-dev/6wAg_PpnlY4

Mozilla FirefoxでもChromeと同じく、URLバー左端にEV証明書情報を表示してきました。

しかし、Firefox 70でページ情報に統一することが決まりました。

Chromeの変更情報を発表したデヴォン・オブライエン氏によると、表示変更は、EV証明書情報の表示がユーザーの役にまったく立っておらず、貴重な画面領域を占有するだけになっているという判断によるものだとのこと。

また、Firefoxのアナウンスを行ったヨアン・ホフマン氏によると、EVの有効性は以前から疑問視されていたとのこと。2018年4月には、別の州などの管轄の異なる地域に行くと、エンティティ名が競合する証明書を生成できることが示されていますが、それから1年以上が経過しても有効な対処策は出ませんでした。このたびChrome 77でEV証明書表示がなくなることから、Firefoxも歩調を合わせることになったようです。なお、すでにSafariとEdgeはエンティティ名の表示をしなくなっています。

ちなみに、EV証明書の有効性に対する問題や、Googleの行ったフィールド実験などについては、以下のブログに詳しくまとめられています。

Google Chrome EV表示の終焉 - ぼちぼち日記
https://jovi0608.hatenablog.com/entry/2019/08/12/095854