2017.09.25
レポート
2.電子証明書ガイドライン策定のための CA/Browser Forum
(1)電子証明書ガイドライン策定のためのCA/Browser Forum
筆者:GMOグローバルサイン株式会社
事業企画部 ビジネスプロデューサー 稲葉 厚志
(JIPDEC客員研究員)
SSLサーバ証明書などの電子証明書を利用するうえで、CA/Browser Forumという言葉を目や耳にしたことがあると思います。
特に電子証明書のルール改定時などに出てくる、このCA/Browser Forumとは一体何なのでしょうか。
そもそも、どのような経緯で設立されたのか。参加している組織はどのようなところがあるのか。どのような議題があり、議論がなされているのか。SSLサーバ証明書だけが議論されているのか。なかなか馴染みのないCA/Browser Forumに関してご紹介します。
CA/Browser Forumの概要
電子証明書の仕様変更などが策定される場面で、CA/Browser Forumという組織の名称が出てくることがあります。CA/Browser Forumとは、どのような目的で設立された組織なのでしょうか。
1990年代の後半から、旧VeriSign社やCyberTrust社といった認証局によって電子証明書の発行サービスを行う事業者が世に出てきました。当時から、認証局にとっては、トラストアンカーである「ルート証明書」をいかに広めるかということがビジネスにおける命題でした。
1990年代といえば、主要なブラウザはInternet ExplorerとNetscapeでした。これらのブラウザに、ルート証明書を搭載してもらおうとしても搭載要件が明確に示されておらず、申請すれば、ブラウザへ搭載してもらえるという状況でした。2000年代に入ると、電子証明書事業への参入が増加してきたことを受け、Microsoft社は、申請があれば搭載するというプロセスを改め、電子証明書が正しい運用の下に発行されることを裏付ける新たな要件として、第三者の視点で評価されるWebTrust(注1)の監査を受審し、クリアすることを「ルート証明書搭載要件」として規定し、新規搭載及び搭載済のルート証明書への適用を開始しました。現在では有り得ない状況ですが、2002年頃にブラウザに搭載されていたルート証明書には、WebTrustを取得済みの認証局と未取得の認証局が混在していました。また、電子証明書を発行するための審査基準や方法についても明確なガイドライン等があったわけではなく、当時、先駆者として業界をリードしていたVeriSign社のCPSやClass1、Class2、Class3、Class4といった認証レベルが業界のデファクトスタンダードとして認知され、ドメインの保有/サイト運営組織の実在性/申請意思の認証を行う「実在認証付きのSSLサーバ証明書」(以下OV(注2)証明書)ビジネス市場が活性化していきました。その後、GeoTrust社など一部の認証局で、OV証明書とは異なる認証基準に基づく証明書である、「ドメイン認証タイプの証明書」(以下、DV(注3)証明書)の提供をスタートしました。DV証明書は、ブラウザベンダの搭載要件を満たし、ブラウザ製品に搭載されたパブリックなルート証明書に紐付くものの、サイト運営組織の実在確認が行われず、また電子証明書自体にサイトの運営組織の情報を記載しないというものでした。ブラウザ側ではこの認証基準の相違を認識することなく、SSLサーバ証明書を利用しているウェブサイト=鍵マークを表示するのみという実装でした。
電子証明書に求める役割として、ユーザに明示的に安全なサイトであることをアピールできる証明書の形式を模索することを目的に、2005年頃にMicrosoft社が主要な認証局や、ブラウザベンダに対しExtended Validation(以下、EV)という新たな認証基準の策定を呼びかけ、CA/Browser Forumが創立される運びとなりました。それにより、業界統一の認証基準に基づき認証局が発行するEV SSLというSSLサーバ証明書が登場し、ブラウザはEV SSLサーバ証明書を利用しているウェブサイト=アドレスバーの表示が緑色となり、安全なサイトであることを視覚的に示す実装を開始しました。
CA/Browser Forumには、Microsoft社を始め、Mozilla、Google、Apple、Opera、Qihoo360といったブラウザベンダ、そしてSymantec、Comodo、Entrust、GoDaddy、DigiCert、GlobalSignを含む世界各国の認証局約50社が参加しています。また、現在、ブラウザベンダが搭載要件として規定している監査(WebTrust,ETSI)を行う機関も参加し、ブラウザベンダと認証局、監査法人が整合性をもってインターネットトラストの底上げを進めていくべく努めています。
eIDAS規則では、電子署名は個人が行うものと定義しているのに対し、法人が行う電子署名と同様の行為を「eシール」と定義しています。
eシールは、電子データ/文書の起源と完全性を保証するもので、技術的には電子署名と全く同じ仕組みです。eシールという言葉は、eIDAS規則で紹介された用語であり、法人は署名ができないということが背景となっています。
eシールも電子署名と同様に、eIDAS規則以前から広く利用されているサービスと言えます。例えば、企業が請求書を発行する際に、組織や法人に対して発行された電子証明書を用いて行う電子署名(今で言う「eシール」)や、プログラムに対して署名を行うコードサイニングがあります。
CA/Browser Forumとブラウザベンダ、認証局の関係
CA/Browser Forumは、現在、SSLサーバ証明書に関するルール策定に主眼を置いており、Forumで規定された要件について、パブリックなSSLサーバ証明書を発行する認証局は最低限の要件としてこれを遵守しなければなりません。ただし、主要ブラウザベンダが規定するルート証明書搭載要件には、SSLサーバ証明書に関しCA/Browser Forumが策定したガイドラインの遵守(つまり、「CA/Browser Forumのガイドライン」と整合性を持つWebTrust,ETSI監査)のクリアのほかに、SSL証明書以外の電子証明書サービス(コードサイニング、S/MIME等)を含む各ブラウザベンダ独自の要件も盛り込まれており、ブラウザベンダ、認証局、監査機関による整合性をもったセキュリティの底上げという点では、SSLサーバ証明書に関してのみ先行している感がありました。しかし、「SSLサーバ証明書以外の電子証明書についてのガイドライン」策定の必要性を求める意見もForum内にはあり、実際に策定を進めてきたものもあります。
2011年にComodoハッカーの事件やDigiNotar社の証明書不正発行事件が発生しましたが、丁度その頃、Forumではネットワークセキュリティや証明書発行に関わるシステムのセキュリティに着目し、「Network Security Requirementsのガイドライン」策定を進めていました。
また、後ほど触れるコードサイニング証明書に関するガイドラインについては、Forum内の意思調整が不十分ということで、「EVコードサイニング証明書ガイドライン」はForum策定ルールとなるも、EV以外のコードサイニング証明書について策定されたガイドラインは、Forum策定ルールとして扱われず、結局Microsoft社預かりとするような事態も起きています。この経験を踏まえて現在、Forumでは、ガイドライン策定対象とする電子証明書、ガイドラインの在り方の見直し及びForumの枠組みの改定に向けて、議論を進めています。
なお、Forumへの認証局の加入については、ブラウザにルート証明書が搭載されている認証局を運営すれば、必ず加入しなければならないということはありません。あくまでも、認証局がForumへの加入を希望することが前提であり、その上でForumへの加入の要件を満たすことが必要となります。加入の要件についてはCA/Browser Forumのページ(https://cabforum.org/baseline-requirements/)に公開されています。
サーバ証明書以外の電子証明書についての議論
これまでサーバ証明書を中心に議論がなされていましたが、インターネットでマルウェアが配布される危険を憂慮し、「コードサイニング証明書」(注4)についても何らかの対策を考えなければという動きが出てきました。具体策として、Microsoft社がSmartScreen機能の実装を表明し、既にサーバ証明書で実装されていたEV SSLの考え方で、きちんと認証がされていて問題がない場合には、SmartScreenの警告画面を表示しないことで、インストールを行わせるという計画を示しました。これを受け、「EVコードサイニングガイドライン」の策定がMicrosoft社と数社の認証局メンバーによって行われ、形式的には「Forum策定ガイドライン」とするための議決で可決されたのですが、特定ブラウザベンダの機能のためだけではないか、またガイドライン策定に関わるメンバーが少なすぎないかとの議論が上がりました。その後、「EVレベルの認証を求めないコードサイニング証明書のガイドライン」が策定されたものの、先の「EVコードサイニングガイドライン」策定時の議論や扱いが尾を引く形で、Forumガイドラインとするための議決で否決され、現在、Microsoft社預かりとなり、同社のルート証明書搭載プログラム要件に包含される形で存続しています。
CA/Browser Forumのキホンのまとめ
本稿では、CA/Browser Forumの役割とSSLサーバ証明書、コードサイニング証明書についての議論を記載しました。EV SSLが生まれた経緯や、それをコードサイニング証明書へも適用するという議論や考え方は、知っていた方も少ないのではないかと思っています
今回のコラムでは記載のできなかった話題については、次回以降のコラムで紹介したいと思います。
- (注1):米国公認会計士協会(AICPA:The American Institute of CPAs)とカナダ勅許会計士協会(CICA:Canadian Institute of Chartered Accountants)が共同で作成した国際的な電子商取引認証局審査プログラム
- (注2):Organization Validation
- (注3):Domain Validation
- (注4):ソフトウェアの配布元を明らかにするために、ソフトウェアへ署名をするための電子証明書
(2017年9月掲載)