Entristが国内でもSSL証明書を売るそうです

久しぶりにPKI業界に明るいニュースが来ました。

セキュリティ製品を手掛けるEntrust社が、国内のSSL証明書販売事業に参入するそうです。プレスリリースはこちら。

Entrustは以前から米国ではSSL証明書の販売をしていたのですが、やっと日本でも買えるようになりました（英語さえ我慢すれば今までも買えたらしいけど）。

国内のSSL市場はVerisign系列（Verisign本家と Geotrust)が相変わらずトップで、グローバルサイン、セコムトラストシステムズ、スターフィールド（本家は米GoDaddy）、ソート（Thawte）、コモド等の強敵が存在します。

コモディティ化が進んでいて価格勝負になりがちなSSL証明書市場で、どれだけ顧客のハートを掴めるか、これからの動向に注目です。

そういえば、自社の認証局ソフトウェアを使って、SSL証明書を売っているのって、ココだけかもしれませんね。せっかくだから自社製品と組み合わせたりすると面白いことができるかもしれません。

Direction 2012が面白そう

昨年に引き続き8/7にセキュリティ関連のカンファレンスDirection 2012が開催されるそうです。無料だし、興味のあるセッションも多いし、

できれば参加したいところ。でも、最近はいろいろ忙しくてスケジュールが合うかどうかが微妙...

KB2718704と証明書を使ったイランへのサイバー攻撃の関係

今朝、Windows UpdateでKB2718704が配布されました。月一で行われるアップデートのタイミングではないので、緊急性の高いアップデートなのでしょう。ちょっと気になったので調べてみたら、証明書関連のもので、背景にはイランへのサイバー攻撃があるようです。

CA Browser ForumのBaseline Requirementの施行が迫る

すみません、最近はMTB関連のブログばかりを書いていました。今日はPKIネタを書きたいと思います。

昨年は偽SSL証明書の発行が多発してPKI業界にとっては災難な1年でした。結構な枚数の偽証明書を発行したDiginotar社は、各社のブラウザにインストールされるルート証明書の一覧から除外され、最終的には倒産してしまったそうです。

こういった問題を放置すると、信頼性を売りにしているPKI業界としては困ったことになってしまいます。SSL証明書なんて誰も信じなくなったら、我々業界人は飯の食い上げになっちゃいます。

そこで、認証局の信頼を取り戻すべく、昨年11月にEV SSL証明書の規格を制定した団体であるCA Browser Forumが、SSL証明書を発行する認証局の標準規格を発表しました。英語版はこちらから、日本語版はこちらからダウンロードできます。

この文書が正式に施行されるのは2011年7月1日からですが、SSL証明書の販売を行う各社は先行して対応状況をアナウンスしています。例えば、GlobalSignではこんなプレスリリースを出しています。着々と準備は進んでいるようですね。

そこで、この文書の内容をちょっとだけ見てみましょう。

Windows Server 8のAD CS新機能

先日からWindows Server 8を試していますが、いろいろと変更があって戸惑います。もちろん、AD CSもいくつか新機能が追加されていますが、あまり大きな変更はないため、淋しかったり逆に嬉しかったりします。

新機能の詳細についてはこちらに出ています。Server 8では以下の機能が追加になったそうです。

• Integration with Server Manager
• Deployment and management capabilities from Windows PowerShell
• All AD CS role services run on any Windows Server “8” Beta version
• All AD CS role services can be run on Server Core
• Support for automatic renewal of certificates for non-domain joined computers
• Enforcement of certificate renewal with same key
• Support for international domain names
• Increased security enabled by default on the CA role service

ちょいと個人的に気になったポイントだけ見ていきたいと思います。

エディションごとの役割サービスの差がなくなった
2008の頃はAD CSはWindowsのエディションによっては、使えない役割サービスがありました。8では、エディションごとの区別が無くなって、どのエディションでも全ての役割サービスが使用できます。

具体的には、以下のEnterprise以上のエディションでのみ使えていたNDESとOCSPの役割サービスが、Standard Editionでも使えるようになります。

AD CSのPowerShellの対応
AD CSのインストールがPower Shellのコマンドレットから行うことができるようになったそうです。追加になったインストール関連のコマンドレットはこちらから見れます。

同時に管理用のコマンドレットも追加になりました。こちらに詳細が出ています。Certutil.exeでできなかった機能が追加になっているので、ちょっとありがたいです。

毎回、案件の度に思うのですが、Windowsの構築手順書は図ばかりで書くのも読むのも面倒なんですよね。「上記の図のように設定する」とか書かれていると、図と画面をにらめっこしたりして疲れるのです。コマンドが一発で済むようになると、かなり楽になります。

また、コマンドが充実したことによって、AD CSの全ての役割サービスがServer Coreモードでも動くようになったそうです。


証明書テンプレートがVersion 4になった
しばらく変更の無かった証明書テンプレートのバージョンが上がり、バージョン4になります。バージョン4の変更点は以下のようになります。

• テンプレートの暗号プロバイダにCNGが指定できるようになった
• 同じ鍵での更新（rekeyではなく）を指定できるようになった
• 互換性タブが増えて、テンプレートが適用されるクライアントとCAのバージョンが指定できるようになった

ちなみに新しく追加になった互換性タブはこんな感じです。

なお、8のデフォルトでインストールされるテンプレート構成はバージョン4を使ったものはありませんでした。