## この記事でわかること - EV 証明書(Extended Validation、最も厳格な実在審査の SSL 証明書)とは何か - かつての「緑色アドレスバー + 組織名表示」がなぜ 2019 年に廃止されたのか - 廃止後の今、それでも EV を選ぶ意味が残る場面と、見直すべき場面 - 既存の EV をどう扱うかの判断軸 EV だけでなく DV / OV を含めた 3 種類の全体像を先に押さえたい方は、[SSL 証明書の種類と違い](/blog/ssl-certificate-types-dv-ov-ev) を読むと、この記事の位置づけが理解しやすくなります。 ## EV 証明書とは何か EV 証明書は SSL 証明書(通信を暗号化し、サイト運営者を証明する電子的な身分証)の中で、認証局(証明書を発行する第三者機関、CA とも呼ぶ)が運営者の実在を **最も厳しく確認した** 種別です。 確認の厳しさには 3 段階あります。 - **DV(ドメイン認証)**: ドメインの所有権だけを確認 - **OV(組織認証)**: ドメイン所有権に加え、法人の実在も確認 - **EV(拡張認証)**: 上記に加え、業界団体 CA/Browser Forum が定めた共通ガイドラインに沿った厳密な審査を実施 EV の審査では、登記情報の照合、第三者データベースでの所在確認、申請者本人への電話確認、署名権限者の確認などを組み合わせます。発行までに 1 週間〜2 週間かかるのは、この人手による確認に時間を要するためです。 重要なのは、**通信の暗号強度は DV / OV / EV で一切変わらない** という点です。EV が「より安全に暗号化する」わけではありません。違うのは「運営者が誰かをどこまで確認したか」という信頼の証明の濃さだけです。 ![EV 証明書の審査範囲と DV / OV との関係](/blog/ev-syomeisho-toha/scope.svg) ## かつての EV は「緑色のアドレスバー」が売りだった EV が登場した 2007 年当時、その最大の訴求点は **ブラウザのアドレスバーに表示される視覚的な証** でした。EV 証明書を導入したサイトを開くと、アドレスバーが緑色に変わり、その中に運営する **法人名(例: 〇〇銀行株式会社)** が直接表示されました。 利用者から見れば、URL のすぐ隣に実在する企業名が緑色で出ることで「このサイトは確かにあの会社のものだ」と一目で判別できる、というのが当時の価値提案でした。金融機関や大手 EC が高額な EV を導入していたのは、この「緑色 + 社名表示」を信頼の象徴として使うためでした。 ## 2019 年、主要ブラウザが緑色表示を廃止した ところが、この視覚的な証は 2019 年にほぼ姿を消します。 - **Google Chrome**: バージョン 77(2019 年 9 月)でアドレスバーの EV 表示(社名表示)を削除 - **Mozilla Firefox**: バージョン 70(2019 年 10 月)で同様に EV 表示を削除 両社が挙げた廃止理由は共通しています。 1. **利用者がほとんど見ていなかった**: ブラウザ各社の調査で、アドレスバーの社名表示や色の違いを認識・理解している利用者はごく一部にとどまり、「EV があるから安心」「無いから危険」という判断材料として機能していなかった 2. **誤った安心感を生むリスク**: 攻撃者が自分の実在する別法人名で EV を取得し、紛らわしい社名を緑色表示させる手口が指摘され、表示が逆に判断を誤らせる懸念があった 3. **画面領域の有効活用**: 社名表示は限られたアドレスバーの幅を占有しており、その効果に見合わないと判断された 廃止後、EV 証明書の組織情報がなくなったわけではありません。今も鍵マークをクリックして証明書の詳細を開けば、組織名や審査状況は確認できます。ただし、**一般の利用者が日常的に目にする位置からは消えた** ということです。 ![EV のブラウザ表示が 2019 年に変わった経緯](/blog/ev-syomeisho-toha/timeline.svg) ## 表示廃止で EV の費用対効果は大きく下がった EV の年額は商用で 8 万円〜30 万円程度と、DV(無料〜数万円程度)や OV(3 万円〜10 万円程度)に比べて高額です。この価格を正当化していた最大の根拠が「緑色 + 社名表示」でした。 その表示がなくなった今、一般の利用者から見れば EV を導入したサイトも DV のサイトも、アドレスバーには同じ鍵マークが出るだけで **見た目の差はありません**。証明書詳細を開いて組織名を確認する利用者はごく稀です。 つまり、利用者に「信頼の証」を見せる手段としての EV の役割は、2019 年を境にほぼ失われました。新規にコーポレートサイトや EC で EV を導入しても、暗号強度は無料の DV と同じで、見た目の差別化もできない、という状態です。これが、多くの場面で **新規の EV 導入が推奨されなくなった** 理由です。 ## それでも EV を選ぶ意味が残る場面 費用対効果は下がったものの、EV が完全に無意味になったわけではありません。次のような場面では、今も EV を選ぶ合理性が残ります。 - **業界規制や監査要件で組織認証が指定されている**: 金融、決済代行、医療など、社内規程や取引先要件で「EV または OV を使うこと」が明文化されているケース。この場合は費用対効果ではなくコンプライアンス(規則の順守)の問題として EV を維持する - **証明書の組織情報を機械的に検証する仕組みを社内で持っている**: 取引相手の証明書から組織名を自動照合するなど、人の目ではなくシステムが証明書情報を使う運用がある場合 - **長年 EV を運用しており、切り替えコストが現状維持より高い**: 多数のシステムで証明書を参照しており、種別変更の影響調査・テストの工数が、EV を続ける年額を上回るケース 逆にいえば、上記のいずれにも当てはまらない一般的なコーポレートサイトや LP では、EV を選ぶ積極的な理由はほぼ残っていません。 ## 既存の EV をどう扱うか すでに EV を運用している場合、慌てて切り替える必要はありませんが、更新のタイミングで一度見直す価値はあります。 1. **規制・取引先要件を確認する**: EV が必須と明記されているか。明記がなければ OV や DV への移行余地がある 2. **証明書情報をシステムで使っているか確認する**: 利用者への見た目ではなく、社内システムが組織名を参照していないか 3. **どちらにも該当しなければ、更新時に DV / OV への切り替えを検討する**: 暗号強度は変わらないため、機能面の不利益はない 切り替えの判断軸そのものは、DV / OV / EV を横並びで比較した [DV・OV・EV の違いと選び方](/blog/dv-ov-ev-comparison) で、業種・規模ごとの具体例とともに整理しています。SSL 全体の更新運用やコスト削減の考え方は [SSL の有効期限切れが事業に与える影響](/blog/ssl-expiry-business-impact) も参考になります。 ## よくある質問 ### EV 証明書は DV より暗号が強いのですか いいえ。通信の暗号強度は DV / OV / EV で同じです。違いは認証局が運営者の実在をどこまで確認したかという「身元確認の濃さ」だけで、暗号化そのものの安全性に差はありません。 ### 緑色のアドレスバーは今後復活しますか 復活の見込みは低いと考えられます。主要ブラウザは利用者の理解度や誤認リスクを根拠に廃止しており、その判断が覆る兆候は出ていません。今後の信頼提示はアドレスバーの色ではなく、別の仕組みへ移る流れにあります。 ### 自社が EV を使っているか、どうすれば確認できますか ブラウザでサイトを開き、アドレスバーの鍵マークをクリックして証明書の詳細を表示すると、種別(DV / OV / EV)と組織情報を確認できます。複数ドメインをまとめて確認したい場合は、ツールでの一括チェックが確実です。 ### EV をやめると検索順位やセキュリティ評価が下がりますか 下がりません。検索エンジンは HTTPS であることは評価しますが、証明書の種別(DV / OV / EV)は区別していません。暗号強度も同じため、DV へ切り替えてもセキュリティ評価が下がることはありません。 ## まずは現状を把握しましょう 自社サイトが今どの種別(DV / OV / EV)の証明書を使い、どの認証局が発行しているかは、ドメイン番人の [SSL 証明書 単発チェック](/ssl/check) で 30 秒で確認できます。 「高額な EV を続けるべきか判断したい」「複数ドメインの証明書を棚卸しして適切な種別に整理したい」といったご相談は、[SSL 棚卸し・自動更新支援](/ssl) または [お問い合わせフォーム](/contact) からどうぞ。最終的な切り替え判断は人の手で確認したうえでご提案します。