ドキュメント署名に特化した拡張鍵の使用方法(EKU)を作成するためのインターネットドラフトが、Internet Engineering Task Force (IETF)に提案されています。これが認められれば、重要なユースケースである電子署名に対して、初めて特定のEKUが設けられることになります。

公的に信頼されたPKIでは、作成する電子証明書の種類によって発行元の認証局(CA)を分ける傾向が加速しています。通常、証明書利用者向けのエンドエンティティ証明書に含まれるEKU拡張機能によって実現されます。

これは、CA/ブラウザフォーラムの活動から始まったもので、TLS/SSLコードサイニング証明書の規格では、これらのユースケースを認証局で分離することが定められています。この傾向は、Mozillaが認証局に対して、既存のルート認証局の証明書を、現在のコミュニティ標準を反映した新しいバージョンに置き換えることを計画しているという最近の要請によって、さらに強調されました。これを受けて、多くのCAはこれまでの「一般用」という階層から脱却し、ユースケースによってCAを分けています。

このような整理は、コンプライアンスや規格の観点からは有益であると広く考えられていますが、問題点も浮き彫りになりました。x.509証明書用の汎用EKUは、IETFによりRFC5280で定義されており、TLS用のid-kp-serverAuthおよびid-kp-clientAuth、コード署名用のid-kp-codeSigningなどの汎用EKUが含まれます。しかしこれまで、ドキュメント署名用に定義されたEKUはありませんでした。

その結果、ドキュメントサイニング証明書の多くは、メールアドレスが含まれていなくても、S/MIME証明書用として適切に意図された汎用のid-kp-emailProtection EKUを採用しています。またCAは、個々の署名プラットフォームが提供するようなプライベートEKUを使用することもできます。

この問題は、2つの力によって、山場を迎えています。まず、AdobeSign、DocuSign、そしてデジサート社のDocument Signing Managerのようなプラットフォームの人気が急上昇しており、ドキュメント署名の活用シーンが増えたことです。第二に、ユースケース(及びその基準要件の違い)にまたがる「多目的」証明書のコンプライアンス問題を引き起こす可能性が認識され、認証局の実務及び証明書プロファイルを標準化しようとする業界の取り組みが進み始めたということです。

具体的な例としては、CA/ブラウザフォーラムのS/MIME認定書 Working Groupがあり、id-kp-emailProtection EKUを含む証明書に焦点を当てた新しいS/MIME Baseline Requirementに取り組んでいます。このグループは、EKUを活用したドキュメント署名などの他の分野に意図しない悪影響を与えないように努めていますが、これらの証明書が「EKUの基準」を持つことは明らかに有益です。

同様に、署名分野では、Adobe Approved Trust Listや欧州のeIDASの認定体制などの取り組みを通じて、いつかS/MIMEのユースケースと干渉する可能性のある署名証明書のための標準化プロファイルが進化しています。

そのため、セコムの伊藤忠彦氏とデジサート の大久保智史氏は、「General Purpose Extended Key Usage (EKU) for Document Signing X.509 Certificates」(ドキュメント署名用X.509証明書向け汎用拡張鍵使用方法(EKU))というインターネットドラフトを IETF に提案しました。このドキュメントでは、専用のid-kp-documentSigning EKUがx.509電子証明書のコアスタンダードの一部になる必要性が明確に示されています。

このドラフトがIETFで採択されると、Internet Assigned Numbers Authority(IANA)がEKUにObject Identifier(OID)を割り当て、これを証明書に使用できるようになります。既存および将来のドキュメント署名規格、ルートプログラム、製品は、EKUを使用して、特定の証明書がドキュメント署名に使用されることを意図しているかどうかを判断することができます。

デジサートは、ドキュメントサイニング証明書をお持ちのお客様が、この規格の進化による影響を、過度に受けないよう配慮しています。デジサートは、インターネットドラフトを支持し、認証局、ドキュメント署名、デジタルトランスフォーメーション分野の他の関係者にも、ドキュメント署名およびデジタル署名専用の汎用EKUの作成を同様に支持するよう呼びかけています。documentSigning EKUの採用は、証明書のユースケースの分離に関する業界のトレンドに沿ったものであり、ドキュメント署名およびS/MIMEに関する業界標準の継続的な開発を促進します。

Document Signing Managerの詳細については、digicert.com/jp/signing/document-signingをご覧いただくか、jpn-info-pki@digicert.comまでメールでお問い合わせください。

UP NEXT

人のための自動化 (Automatic for the People)

特集記事

VMC Blog Featured Image

ユーザーの受信トレイに貴社のロゴを表示する:VMC GMAIL PILOTから学べるヒント

デジサートのPKIオートメーション調査から見えてきた3つのこと

証明書のピンニングはやめましょう