ウェブを安全に保つために、認証局(CA)やブラウザ(Browser)が満たすべき一定の基準が設定されています。CA/B フォーラムは、ウェブサイトのセキュリティに関する標準の策定を行う団体です。約50の認証局と9つのブラウザベンダーのメンバーで構成されるCA/B フォーラムは、ウェブサイトのセキュリティにおける主要な関係者を代表しています。ウェブサイトの安全性を確保するための現在の業界標準はSS/TLS暗号化ですが、フォーラムが設定するオンラインセキュリティには、それ以外にも多くの要素があります。

この投稿では、フォーラムがどのように機能しているか、また、認証局としてのデジサートの役割について、見てみましょう。

CA/B フォーラムとは？

簡単に言えば、フォーラムは、デジサートのような主要なCAと、Google ChromeやApple Safariのようなインターネットブラウザソフトウェアのベンダーによる任意団体です。2006年以来、フォーラムは認証局業界のベストプラクティスに基づいて、認証局業界の基準を定義しています。これらの基準により、SSL/TLS証明書の使用方法が改善され、すべてのインターネットユーザーにメリットがあり、通信の安全性が確保されます。

CA/B フォーラムは何を生み出しているのか？

フォーラムでは、Baseline Requirementsと呼ばれる基準を作成しており、フォーラムのメンバーであるかどうかにかかわらず、すべてのパブリックCAはこれを遵守しなければなりません。CAは少なくとも年に一度、これらの基準に準拠しているかどうかの監査を受け、その結果としての監査報告書がブラウザに提供されます。不備があった場合は是正されなければならず、そのために証明書の失効が必要になることもあります。基準の発行機関であるフォーラムは、要件の実施には関与しておらず、要件の例外を認める権限もありません。

CA/B フォーラムの歴史

2005年に第1回目のフォーラムが開催され、2006年には人気と信頼を得られるようになりました。2007年には、当時標準化されていなかった既存のID検証要件に改良を加え、EV認証（EV）証明書およびEVガイドラインが採択されました。CAとブラウザが非公式に集まり、発行、失効、その他のセキュリティ決定に関する業界の基準を作成しました。その後、組織認証 (OV)とドメイン認証 (DV)の認証基準を発表しました。米国で設立されたフォーラムは、時を経て、ヨーロッパやアジアなど他の地域のメンバーも加わりました。

重要である理由

フォーラムでは、ブラウザとCAの両方の知識に基づいて意思決定を行います。CAは多くの場合、お客様から情報や意見を収集し、十分な情報に基づいた意思決定を行い、フォーラムでの議論に反映させています。

デジサートは、お客様や証明書ユーザーのために最前線で活躍しています。私たちは、お客様の要望を聞いた上で、情報に基づいた提案や開発についてフォーラムに伝えます。しかしこれは、すべてのメンバーが協力し、主要なステークホルダー全員のニーズに基づいたベストプラクティスが最も効果的であることを理解していないとうまくいきません。

CA/B フォーラムの仕組み

ウェブサイトのセキュリティ基準は、固定的なものではありません。業界のニーズに適応し、常に変化し続けています。フォーラムでは、投票によって基準を改訂します。

フォーラムに参加している誰もが、Baseline Requirementsに対するアイデアや変更を提案することができます。その提案がセキュリティや運用に役立つという一般的なコンセンサスが得られれば、個人が古い要件に赤線を引くなどして、追加事項を定義した投票用紙を提出することができます。

フォーラムでは、提案された変更点について組織的な議論が行われ、提案者はその議論に応じて草稿の編集や完全な差し替えを行うことができます。提案者が投票の準備ができたと思ったら、その投票は投票期間に入ります。投票が成立するためには、CAの3分の2とブラウザベンダーの過半数が投票しなければなりません。

フォーラムでは、Eメールリスト、電話、直接会っての会議、CA/B フォーラムのウェブサイトなど、さまざまな方法でコミュニケーションを図っています。議論が行われている電子メールリスト、電話や対面式の会議の議事録はすべて公開されており、フォーラムで何が起こっているのかを把握することができます。

また、投票権のない利害関係者の参加も可能です。これらの利害関係者は、フォーラムで行われていることに反応したい人なら誰でも構いません。利害関係者は、メーリングリストへの投稿や閲覧、返信はできますが、投票はできません

2016年には、コードサイニングやS/MIMEなど、他の種類の証明書の仕様策定に取り組めるワーキンググループを追加できるよう、フォーラムを再編しました。これらのワーキンググループでは、認証局は「証明書発行者」と呼ばれ、このような証明書を信頼するアプリケーションおよびオペレーティング・システムは「証明書消費者」と呼ばれています。3種類の証明書のうち2種類については、「証明書消費者」は、ブラウザではないため、CA/B フォーラムという名称は、現在ではやや時代錯誤的になっています。

CA/B フォーラムへのデジサートの貢献

デジサートは、CA/B フォーラムを共同設立した認証局メンバーであり、フォーラムに参加することで、インターネットがお客様とそのユーザーにとって安全で安心できる空間であることを目指しています。さらに、デジサートの社員がフォーラム内のいくつかのワーキンググループを率いています。デジサートのディーン・コクリンはフォーラムの新議長兼コードサイニングワーキンググループの議長、Tim Hollebeekは認証分科会の議長、Stephen DavidsonはS/MIMEワーキンググループの議長を務めています。

DigiCertが最近関わってきたトピックのいくつかを次に示します。

• 認定書プロファイルの要件: デジサートは、証明書プロファイルの要件の表現方法を改善するプロジェクトに深く関わっており、何が許可され、何が許可されないのかをさらに明確にしています。現在の表現方法は混乱しており、断片的であるため、様々な証明書が適切に発行されたかどうかについて、多くの意見の相違が生じています。
• 量子コンピュータ: デジサートは、量子コンピュータと耐量子コンピュータ暗号に関する最新情報をフォーラムに定期的に提供しています。
• コードサイニング: デジサートは、コードサイニングワーキンググループの一員として、マイクロソフト社と協力し、すでにコードサイニングを使用している多くのアプリケーションやデバイスに影響を与えることなく、より強力な暗号アルゴリズムにコードサイニングを移行する方法を検討しています。
• S/MIME: デジサートは、S/MIMEワーキンググループによる既存の電子メール標準のインベントリー作成を支援しています。このグループは、S/MIME Baseline Requirementsのバージョン1.0に向けて前進しています。
• ID 検証の改善: 証明書内のIDはフィッシング防止のためだけに存在し、既存の認証方法で十分であると考える他のCAとは異なり、デジサートは強固なIDが強固な Web PKIの基本であると考え、 ID 検証に関するいくつかの重要な改善策を提案し、そのうちのいくつかは採用されています。

フォーラム全体では、より安全なインターネットを実現するための政策を目指していますが、その実現方法についてはフォーラム内でも意見が分かれています。デジサートの観点からは、デジタルセキュリティやセキュリティ業界に有益な政策を提唱しています。

CA/B フォーラムが決めること

このフォーラムでの決定事項は、「パブリック証明書の発行と管理のためのベースライン要件」に反映されています。

最近の決定事項

• 2019年8月、 CA/B フォーラム バロットSC22で、SSL/TLSサーバ証明書の有効期間を1年に短縮するという提案が、Googleによってなされましたが、投票はフォーラムで否決されました。その結果、証明書の最大有効期間は2年のまま据え置かれました。しかし、2020年にAppleが、一方的に証明書の有効期間を1年に移行することを決定し、多くの主要ブラウザがこれに追随しました。デジサートは1年間の証明書をサポートしています。
• Server Certificate Ballot 25では、HTTPベースのドメイン検証の技術的要件が厳しくなりました。
• Server Certificate Ballot 30では、認証局がID情報の確認にどの登録機関を使用しているかの開示が求められました。これは、デジサートが提案したID改善の一つです。
• Server Certificate Ballot 31では、様々なルートプログラムに元々存在していたいくつかの要件がベースライン要件に移されました。フォーラムのプロセスを通じてこれらの要求を管理することは、完全ではないものの、一般的にルートプログラムによる一方的な行動よりも優れています。
• Server Certificate Ballot 33では、セキュリティ上の問題で廃止された従来のIETFの検証方法に代わり、IETF RFC 8737に基づく新しい検証方法が追加されました。この投票では、デジサートが支持されました。
• Code Signing Ballot 4では、より強力な暗号化方式への移行に関する様々なスケジュールを若干後ろ倒しにし、業界がスムーズに移行できるようにしました。提案者は、デジサートです。
• 2020年、S/MIMEのワーキンググループを作る投票が可決されました。CA/B フォーラムは先日、パブリックS/MIME証明書の最低セキュリティ基準に関する新しいワーキンググループを設立する投票を可決しました。デジサートのStephen Davidsonは、このワーキンググループの議長を務めています。

今後の展開

このような決断をする際、フォーラムのミーティングでは常に多くの問題や議論があります。この複雑さは今後も続くことでしょう。以下を中心に、さらなるコミュニケーションを期待しています。

• 証明書の認証ルール
  ウェブセキュリティを向上させるために、証明書の認証ルールや有効期間のさらなる厳格化を期待しています。ブラウザは、認証データの再利用を短縮しつつ、さらに有効期間を短くしたいと考えています。証明書で許可されるフィールドの数は、ブラウザの要望に合わせて今後も減少していくと思われます。
• ブラウザによる検証方法の制限や廃止の動きの活発化
  例えば、Chromeは、ワイルドカード証明書のHTTPベースの検証の廃止を前倒しで進めています。それがどうなるかは今のところ不明です。（追記：2021年11月15日から適用）
• 証明書の組織単位フィールド
  このフィールドはこれまで様々な用途に使用されてきましたが、ブラウザはこのままではいけないと考えており、2021年には禁止される可能性があります。
• S/MIMEの基準
  このワーキンググループでは、セキュアメール証明書のプロファイルの作成が順調に進んでいます。これが完成してフォーラムに認められれば、監査基準もそれに従います。

情報を得る

今回は、CA/B フォーラムの仕組みについてご紹介しました。もちろん、まだ表面的な部分を見ただけです。フォーラムでの決定事項や業界の最新動向をデジサートブログで定期的に発信しています。デジサートやCA/B フォーラムのルールや基準について詳しく知りたい方は、ブログで最新情報をご確認ください。デジサートがどのように役立つのか、より詳しい情報をご希望の方はご連絡ください。