偽のEV-SSLサーバ証明書は発行可能ですか？

先日、いわゆるオレオレルート証明書をインストールしてしまうマルウェアが発見されたというニュースを見たとき、このオレオレ認証局に署名されたEV-SSLサーバ証明書を勝手に発行することが可能になってしまうのだろうかと疑問に思いました。
そのニュースは、ネットバンキングに対する中間者攻撃を狙うマルウェアの記事で、正常な状態ではEV-SSLサーバ証明書により本物と偽物の見分けが付く（アドレスバーが緑色になるため）と言っていましたが、一般的な話として、ルート証明書が偽装された段階でも、EV-SSLサーバ証明書というものは絶対に偽装されないものなのでしょうか。

自分なりに調べた結果、通常のSSLサーバ証明書とEV-SSLサーバ証明書の違いは、手続き上では、認証局による証明書発行の際の認証手順と、具体的な証明書の違いとしては、あらかじめ認証局が決めたEV-SSL証明書用の識別子の有無、ということだと理解しました。

それでは、偽のサーバ証明書内に、本物の認証局が用いるEV-SSL証明書用の識別子を付加して、先のオレオレ認証局に署名させれば、上記の類のマルウェアにより偽のEV-SSLサーバ証明書を持つサーバを偽装できてしまいそうですが、実際にはどうでしょうか？

それとも、EV-SSL証明書用の識別子と正規のルート証明書の対応付け等、ブラウザによる何か強固な仕組みがあるのでしょうか？

No.1 ベストアンサー 回答者： kadusaya2 回答日時： 2015/04/16 00:02

結論から言えば、可能です。

OIDを取得し、プライベート認証局から社内向けのEV-SSL証明書を発行している組織はあります。
詐欺などでは無く、社内サーバーやサービスで誰でも利用できますよ。

ただし、EV-SSL証明書の判断基準は統一されていません。
ですのでブラウザにより、EV-SSL証明書を通常のSSLサーバー証明書として判断することもあります。

OIDの取得は総務省（http://shinsei.e-gov.go.jp/search/servlet/Proced …）もしくはJIPDEC（http://www.jipdec.or.jp/project/OSI_Object.html）に申請します。
取得できたら、それをフリーウェアのk9pca（http://www.vector.co.jp/soft/winnt/util/se479199 …）でサーバー証明書を作るときに入力します。

ルート証明書をインストールするときにOIDも指定します。
やり方は同ソフトの「20 ルート認証局証明書インストール手順書（雛型）」を見てください。

JIPDECでOIDを取得した企業は公開されています。そこに公開されている企業の社内サーバーはEV-SSLだと思って間違いないでしょう。

この回答へのお礼

やはり可能なのですね。
偽のルート証明書をインストールされてしまったらどうしようもないのでは、と思っていましたが危惧していた通りです。
社内向けの用途でも実際に使用されているのですね。方法まで教えて下さり参考になりました。

運用管理中の社内向けに、ネットバンキング利用時はアドレスバーの色を確認するように注意喚起しているところですが、通常のフィッシングサイトには有効なEV-SSL証明書も、このようなマルウェアに感染してしまえば元も子もないということですね。

ありがとうございました。

お礼日時：2015/04/16 11:52