スラッシュドット・ジャパン

FireFox用のEV SSL拡張 [mozilla.org]をjar xして展開してソースをみるとだいたい何をすればいいのかがわかります。 ざっとみた限りですが、

1. CAと、SSLサイトの証明書を普通のSSLと同様に確認する
2. CA各社毎に独自のOIDを確認する
3. 確認が通ったら、従来のSSLについている会社名を表示する
4. 更に、CAやSSLサイトのアイコンや日本語での会社名なども表示する

となっていて、FireFoxの拡張の中にはアイコンつきのCA(この拡張では数社のみ)の証明書なども格納されています。

よって、EV-SSLに対応するには、

1. SSLの証明書をいままでより吟味する
2. サーバー側のSSL証明書やCAの証明書に会社所在地の言語(日本語など)での会社名や住所、アイコンなどの拡張情報が含まれているので、それを表示する

の二つは最低限必要になるとおもわれます。

当然、各社が使っているOIDを勝手にopenssl.confの[ new_oids ]でつけるようなオレオレ証明書に対抗するためにはちゃんと証明書を吟味する必要がありますし、ユーザに会社の実在を証明するための会社の住所などを表示するインタフェースを追加しなければなりません。

CA各社に対応するとなると結構面倒そうですが、従来の「信頼されたroot CAの配付」にアイコン情報がついている程度、といえば楽かもしれません。 携帯電話やPDAのようにroot CAを追加・変更しにくいシステムでは面倒そうですね。

ありがとうございます。
つまりSSLを運用しているサイト側ですることは無く、あくまでもブラウザ側のみの話ということですね。

EV SSLはサイト側での証明書の取得基準が無審査/ザル審査でも取れるSSLよりも厳しくなっています。
厳しい審査を通った企業の証明書がEV SSL証明書としてEV SSL用CAに紐づけられる。
ただ、それだけです。
ブラウザ側での調べ方なんてどれも同じです。ブラウザ側はEV SSL対応のCAに紐付いていればEV SSLの表示(名前と緑色)をし、普通のSSL用CAに紐付いていればそのようなSSLの表示をするだけで、半オレオレ証明的な(ジオトラストのような)ザル審査証明書を締め出すことが目的。
日本人に英語の証明書見せられても何のことかわかりませんから日本語でも表示するんでしょう。
CA→企業証明書→サイト証明書 にしてくれた方がどの企業のサーバなのかはわかりやすいと思うんですが、そういう方向には変わっていきませんかね。

S&Bの缶のカレー粉をウンコにかければ、カレー味のウンコになると思う。
俺、ウンコ味のカレーでいいや。