Referer 送信無効 or Flash 再生無効にするとベリサインの「シール」が効果ダウン

サーバ証明書を発行しているベリサインでは、http://www.verisign.co.jp/securesite/secured-seal.html に書かれているような「シール」を発行している。
サイト上にこのシールを貼ることで、サイト閲覧者が「あぁ、ここはベリサインの認証を通った本物のサイトだな」と確認できる……というものだが、ブラウザの設定で

  • Referer ヘッダの送信を無効にする
  • Flash ムービー再生または GIF 画像表示を無効にする

のいずれかをやっていると、このシールはちゃんと働かない。

シールの仕組み

サイト管理者は、ベリサインが提供するスクリプトへのリンクをページ内に埋め込む。このスクリプトが「シール」の Flash または GIF をページ内に埋め込むと同時に、クリックされたらサーバ情報のページが開かれるように処理を追加する仕組みになっている。
この時、そのドメインベリサイン発行のサーバ証明書を使っていない場合は、空の内容が返され、シールは表示されない。
したがって、サイトを見る側では、

  1. シールの Flash または GIF が表示されたこととを確認する
  2. シールの URL が正しい (具体的には、https://seal.verisign.com/ で始まっている) ことを確認する
  3. シールをクリックしてサーバ情報のページを開き、今見ていたサイトのドメイン名と一致していることを確認する

という手順で、そのサイトが「ベリサイン発行のサーバ証明書を使っているんだな」ということを検証できる。

Referer ヘッダを無効にすると

ベリサインが提供しているスクリプトFlash or GIF は、Referer ヘッダの値が正しくない場合、空の内容を返すようになっている。なので、本物のサイトからスクリプトをコピーするなりして偽サイトに貼り付けても、シールは表示されない。
しかし、ブラウザやプロキシの設定で Referer ヘッダを無効にすると、上記のチェックは行われず、シールは表示されてしまう。

Flash or GIF を無効にすると

提供されているシールは Flash または GIF 形式で、サイト管理者が選べるようになっている。
当然ながら、この場合はシールが表示されない。

なにか問題があるか?

このシールの目的が、そもそもセキュリティの確保とかじゃなくて「ベリサインのブランドで閲覧者を安心させる」というものなので、正直どうでもいい。