DigiCertが、現実の問題を解決するために、デジタルトラストの確立、管理、拡大をどのように支援しているかをご覧ください。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
2023年8月15日よりCertCentralのサインインではユーザ名とパスワードのほかにワンタイムパスワード(OTP)もしくはクライアント証明書の二要素認証による提示が必要となりました。 設定等についてはこちらのKnowledgeを参照ください。
デジサートは年に 3 回、認証局/ブラウザ(CA/B)フォーラムを構成する認証局(CA)、業界標準団体および監査機関、証明書消費者ベンダーから成る自主的なグループに参加しており、電子証明書の発行および管理と、CA のシステムおよびネットワークセキュリティを管理する業界ガイドラインについて議論しています。
10 月はじめ、2023 年最後の CA/B フォーラムに出席するために、私たちはニューハンプシャー州を訪れました。今回の記事では、当社の顧客やパートナーに最も関係の深い最新情報とインサイトをまとめています。
Google の優先事項は変わっておらず、「Moving Forward, Together(ともに、未来へ)」が焦点になっています。ただし、項目は再構築されており、以下の 3 つの優先事項がトップに並びました。
自動化: 証明書は、必要なとき速やかに交換できなければなりません。Google は、CA が証明書の発行サービスを自動化して提供することを期待しており、特に ACME のサポートを推奨しています。
ルート有効期間の制限: Google が、有効期間の短いルート証明書がもたらす課題を認めました。
テストの最小要件 テスト要件は近日中に導入される予定で、ルートプログラムでは、証明書がコンプライアンスエラーなしに発行されることが期待されています。
優先事項のうち最も低いものは何かというと、3 月の CA/B フォーラムで Chrome が提案した証明書有効期間の短縮です。
コードサイニング、TLS、S/MIME にまたがるベースライン要件(BR)のうち多くの部分を共有すれば、コンプライアンス要件の一貫性が促されるという信念に基づいて、デジサートは以前から「BR の中の BR」を推進してきました。CA/B フォーラムが、サーバー、コード署名、S/MIME の標準で使用される共通の内容を統合した文書を作成する方向に動いたことで、業界は当社が考えることの「BR の中の BR」という目標に向けて大きく前進しました。
これで BR は、定義や検証、鍵の保護といった規定に合わせた統一的なエントリを含み、自動化ツールによって共通のソースから同じ文書を作成できるようになります。今後、個々のワーキンググループは、プロファイルなどの項目や、標準固有のカスタマイズが必要な部分のみを扱うことになります。
パブリック S/MIME に関する業界初の監査済み標準が 9 月 1 日に発効し、ほとんどの CA にとって移行はスムーズに進みました。その多くが、デジサートの OSS pkilint ツールを使用して S/MIME BR への準拠を検証しています。コードサイニング証明書の新しい秘密鍵保管要件への比較的スムーズな移行も同様で、ここでは秘密鍵と証明書をハードウェアトークンまたは署名サービスに保管することが求められています。
これ以降について S/MIME ワーキンググループは、3~5 年以内にレガシー S/MIME 証明書が廃止されると予想しています。その時点で、レガシーのプロファイルは新しい BR バージョンから削除され、証明書が多目的または厳密な生成プロファイルに該当するようを要求することになります。S/MIME 仕様 RFC の認証局認証(CAA)は先日最終的に確定され、RFC9495 として発行されました。つまり、ワーキンググループは遠からずこれを投票にかけるということです。
CA/B フォーラムではオランダ政府の代表がゲストスピーカーとして登壇し、信頼の強化における Electronic Identification, Authentication and Trust Services(eIDAS)規制の役割と、EU 圏内の電子 ID に対する影響について論じました。eIDAS 2 と Network and Information Security(NIS2)指令に伴って、さらに大きな変化が予定されています。
最近のルートプログラムは、CA と協力して新しい標準のスケジュールを策定する際、合理的で柔軟な対応をしています。この柔軟性は、標準化が顧客にとって不利になるこのではなく有利になるように機能することを保証するという点できわめて重要です。デジサートは、標準化が新たな分野に進むまで、合理的なスケジュールを求め続けます。
一方、Google をはじめとするルートプログラムからのメッセージは明白です。手作業による証明書の管理と置換は、もはや受け入れられないということです。証明書の自動発行に切り替えると、CA は顧客の検証を支援し、不本意な有効期限切れを排除できます。ルートプログラムの要件に対する今後のポリシー変更は、ルートプログラムが手動の証明書発行プロセスを非推奨とみなすことを反映したものになります。
S/MIME、コード署名、耐量子コンピューター暗号に関する詳細をご希望ですか? 記事を見逃さないように、ぜひデジサートのブログを参照してください。
© 2024 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム