昨年は偽SSL証明書の発行が多発してPKI業界にとっては災難な1年でした。結構な枚数の偽証明書を発行したDiginotar社は、各社のブラウザにインストールされるルート証明書の一覧から除外され、最終的には倒産してしまったそうです。
こういった問題を放置すると、信頼性を売りにしているPKI業界としては困ったことになってしまいます。SSL証明書なんて誰も信じなくなったら、我々業界人は飯の食い上げになっちゃいます。
そこで、認証局の信頼を取り戻すべく、昨年11月にEV SSL証明書の規格を制定した団体であるCA Browser Forumが、SSL証明書を発行する認証局の標準規格を発表しました。英語版はこちらから、日本語版はこちらからダウンロードできます。
この文書が正式に施行されるのは2011年7月1日からですが、SSL証明書の販売を行う各社は先行して対応状況をアナウンスしています。例えば、GlobalSignではこんなプレスリリースを出しています。着々と準備は進んでいるようですね。
そこで、この文書の内容をちょっとだけ見てみましょう。
まず、文書の見出しですが、こんな感じになっています。結構多いですね。
1. Scope証明書ポリシーや認証局の運用、監査、従業員の要件までも含まれていて、かなり広い範囲まで書かれていそうですが、そこまで深い記述はありません。英文で30ページ程度ですし。
2. Purpose
3. References
4. Definitions
5. Abbreviations and Acronyms
6. Conventions
7. Certificate Warranties and Representations
8. Community and Applicability
9. Certificate Content and Profile
10. Certificate Application
11. Verification Practices
12. Certificate Issuance by a Root CA
13. Certificate Revocation and Status Checking
14. Employees and Third Parties
15. Data Records
16. Data Security
17. Audit
18. Liability and Indemnification
Appendix A - Cryptographic Algorithm and Key Requirements (Normative)
Appendix B – Certificate Extensions (Normative)
Appendix C - User Agent Verification (Normative)
また、ざっと見た感じでは、MUST扱いのものはそこまで多くなく、SHOULD以下の扱いのものが多いような気がします。やはりガチガチな規格というよりは、ガイドラインレベルのもののように見えます。内容も、真面目な認証局ならば満たしていて当然のものも多く思えました。
このベースライン文書で十分な対策が取れるかどうかは俄かには判断できませんが、少なくともPKI業界としては信頼の回復のために前進していることが分かります。PKIが信頼できるインフラとして生き残れるか否か、これからの動向に注目です。
0 件のコメント:
コメントを投稿