ブログ  >   CA/B フォーラム   >   CA/Browser Forum ワルシャワ会合からのインサイト
CA/B フォーラム 11-20-2025

CA/Browser Forum ワルシャワ会合からのインサイト

Timothy Hollebeek
Warsaw Blog CABF Hero

PKI 標準は、これまでになく速いペースで進化しています。新たに承認された要件や審議中の要件により、世界中の組織における 証明書管理の運用はまもなく大きく変わります。さらに、追加の変更もすでに予定されています。

ワルシャワで開催された直近の CA/Browser(CA/B)Forum の対面会合では、自動化、検証方法、そして Web PKI 全体における 耐量子コンピュータ対応に影響を与える複数の提案が前進しました。

ここでは、最も重要な動きと、それが 認証局、ブラウザベンダー、そして信頼されたデジタル ID に依存する企業にとって何を意味するのかを解説します。

Microsoft PQC パイロット

会合において Microsoft は、信頼されたルートプログラムで TLS 向けの ML-DSA ルートをサポートするパイロットプログラムを開始すると発表しました。ML-DSA は、PQC 準拠のデジタル署名に関する標準です。このプログラムはテスト目的に限定されたパイロットであり、本番システムでの利用は認められていません。

本番環境での対応が整った際の円滑な導入に向けて、デジサートは CA/BF TLS ベースライン要件において ML-DSA を許可するためのドラフトバロットを作成しています。

Microsoft の製品はコードサイニング分野で特に大きな影響力を持っていますが、コードサイニングで使用されるデジタル署名は有効期間が長いという特性があります。そのため同社は、より短期間で更新される TLS 証明書でテストすることが最適だと判断しました。

Google Chrome チームが X9 を評価

Chrome Root Program を通じて Google が一方的に、クライアント認証を有効にした証明書のサポートを終了したことで、パブリック TLS 証明書を使用する相互 TLS(mTLS)アプリケーションには課題が生じています。

Chrome Root Program の影響力の大きさから、パブリック認証局各社は Web PKI 向けにこの種の証明書を発行しないことを発表しています。現在、顧客から特段の要望がない限り、デジサートが発行する新しい Web PKI TLS 証明書は、Google のルートプログラム要件に従い、サーバ認証のみをサポートします。2026年3月1日以降、デジサートはこの種の証明書を発行しません。

一方で、外部から容易に信頼できるクライアント認証証明書を必要とする顧客には選択肢があります。それが DigiCert X9 PKI です。CA/BF 会合では、Chrome チームがこの課題を認識し、mTLS アプリケーションにおける Web PKI の有力な代替として X9 に言及しました。

Chrome ルートプログラムの変更が目前に

Chrome チームは、Chrome Root Program Policy(現行バージョン 1.7)に追加予定の複数の更新についても発表しました。以下の変更は、バージョン 1.8 に反映される見込みです。

1. ルートプログラム全体で自動化対応が必須に

Chrome チームは、すべての認証局に対して証明書ライフサイクルの自動化対応を必須とする更新を発表しました。現行版では、ルートプログラムへの新規参加を申請する認証局にのみ要件があります(4.3.1 Automation Support 参照)が、新要件は既存の認証局にも適用されます。

2. Chrome チームは、Certificate Transparency ログの新標準「Photosynthesis」におけるマークルツリー採用を以前から提唱しており、CA/BF 会合でも改めて支持を表明しました。

マークルツリーは、改ざん耐性を備えたデータロギングのためのデータ保存技術で、ビットコインのブロックチェーンでの利用で広く知られています。ツリー内のすべてのノードでハッシュを使用することで、特定のログ済みトランザクションについて、そこからルートまでのハッシュを検証し、正確性を証明できます。

「手動」検証方法の終了の可能性

証明書自動化を推進する流れに沿い、Chrome チームは、自動化できないすべてのドメイン制御検証(DCV)方法を将来的にサポート終了とするためのバロットを、サーバ証明書ワーキンググループに正式に提案しました。この提案(CA/BF の手続きでは「バロット」と呼ばれます)は現在、ディスカッション期間にあります。変更内容には、電話やメールを利用するすべての方法のサポート終了が含まれます。これらは自動化に適さず、Web PKI のセキュリティに関する CA/BF のもう一つの優先事項である Multi-Perspective Issuance Corroboration(MPIC)でも、実装が困難または不可能な方法です。

バロットで予定されている最初の変更は 2026年3月15日で、方法 3.2.2.4.8(「IP Address」)のサポート終了です。2027年および2028年には、メール、電話、Fax、SMS、郵送に依存するすべての方法がサポート終了となる見込みです。

PKI では「変化」が常に定数

今後数年間で、Web PKI 全体にわたる大規模な更新が進みます。今こそ組織は、自動化への対応状況を評価し、量子コンピュータ時代の要件に備えていることを確認すべきタイミングです。

これらのバロットが提案からポリシーへと移行する過程において、今後のデジサートのインサイトにもぜひご注目ください。

関連記事

特集記事

blog url
証明書管理04-14-2025

TLS 証明書の有効期間は 47 日へ短縮されることが決定

blog url
X9 PKI Blog Hero
PKI (公開鍵基盤)05-08-2025

X9 PKI を使うべきタイミングとは?

blog url
TrustSDK Blog Hero
Device trust07-30-2025

すぐに実装できる“信頼の”セキュリティ:TrustCore SDK がオープンソースに

  • DigiCert Logo

    法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。