Globalsignの「パブリックルート署名サービス」がウハウハな件

体調を崩していたので久しぶりの更新。最近はダルくてダルくてBlogどころではなかった。今は完全復活です。

さて、今回もPKIネタ。9月1日よりグローバルサインが「パブリックルート 署名サービス」というサービスを開始した。このサービスは、グローバルサインのCAが、一般の会社の社内などに設置してあるプライベートCAのCA証明書に署名を打ってくれるサービスだ。米国ではずいぶん前から提供されていたので、やっと日本でも使えると考えるとウハウハしてしまう。

で、このサービスの何が嬉しいのかというと、「自前プライベートCAがマイクロソフトのルート証明書更新プログラムでCA証明書が配布されているCAの下位CAになる事ができる」という点に尽きる。グローバルサインのルート証明書はIEの信頼できるルート証明期間の一覧に始めから入っているので、このサービスを使用したCAが発行した証明書は世界中のどのWindowsマシンでも自動的に信頼できる証明書として取り扱ってもらえる。しかも、特に発行できる証明書の制限は無さそうなので、自前のCAで個人向けの証明書やコードサイニング証明書などもバンバン発行できる。これはウハウハするでしょう。用途広すぎ。

1点だけ気になるのが、このサービスをやる事によってグローバルサインのルートCAが、WebTrust for CAの認定とMSのルート証明書の配布要件に抵触してしまい、ルート証明書の配布が行なわれなくなってしまうのではないかということ。米国ではずいぶん前から提供しているので問題はないとは思うのだが、、、うーん微妙にグレーゾーンな気がする。

たぶん下位のCAには、CP/CPSの要件やHSM (Hardware Security Module)を使った鍵の管理の義務、監査を受ける義務、サーバーの設置場所に関する要件などのそれなりのヘビーな内容が求められる可能性はある。まぁ、得られる利点を考えると納得はできるのだが、お手軽にパブリックCAを構築できるサービスであるとは言えなさそうだ。

これ、あまりにも便利すぎるので自社でも真面目に検討してみることにする。残る問題は価格だよな。課金体制がよくわからないので、実はものすごーーーく高かったりするオチがあるかもしれない。