CA Certificate Policy バージョン 2.4 リリース

私たち Mozilla は Mozilla’s CA Certificate Policy のバージョン 2.4.1 をリリースし、Mozilla 製品に同梱されている ルート証明書を所有する 認証局(CA)に対して、要件に関する今回の変更点などをCA Communication として通知しました。 Network Security Services (NSS) とは、セキュリティ機能を持ったクライアント・サーバーを開発する際に、クロスプラットフォームなアプリケーションとして開発できるよう設計された、オープンソースのセキュリティライブラリー群です。Mozilla’s CA Certificate Program は、 この NSS にルート証明書を追加する際の手続きを運用する役割を担っています。NSS のルート証明書は Firefox ブラウザーといった Mozilla 製品のみならず、他の企業やオープンソースプロジェクトが様々なアプリケーションで利用しています。

Mozilla’s CA Certificate Policy における今回の改訂内容は以下の通りです。

  • 監査報告書に加え、証明書ポリシー(CP)と認証局運用ポリシー(CPS)を Mozilla へ毎年送付すること
  • 2017 年 6 月 1 日より、監査報告、CP、CPS は英語で提示すること(必要に応じて翻訳すること)
  • すべての提出資料にオープンなライセンスを付与すること(詳細はライセンスの選択肢と条項を参照)
  • Mozilla’s CA Certificate Policy バージョン 2.4 から Common CCADB PolicyMozilla CCADB Policy を参照するように
  • 新しい Common CA Database (CCADB) により、CCADB に関して今まで暗黙だった期待事項を明文化
  • 受理される監査基準の一覧を更新
  • OCSP レスポンスに関する要件を追加
  • 証明書のシリアルナンバーに対して 64 ビットのエントロピーを要件として指定

Mozilla’s CA Certificate Policy における バージョン 2.4 と 2.3(2016 年 12 月公開)の差分と、 バージョン 2.4 と 2.2(2013 年 7 月公開)の差分は、それぞれ GitHub で参照できます。バージョン 2.4.1 はバージョン 2.4 の規範的な内容を変えずに構成を一新したものです。

今回の CA Communication は関係する各 CA の Primary Point of Contact (POC) へメールで送信され、14 の調査項目に対する返答を求めています。 調査項目の一覧は こちら から確認できます。この調査に対する返答は Common CA Database を通じて 自動で速やかに公開 されます。

この調査に加え、mozilla.dev.security.policy フォーラムにおける議論に従うことを追加要件として検討中であることを CA に通知しました。 このフォーラムでは、 Mozilla’s CA Certificate Policy で予定されている変更や、ポリシーと期待事項に関する質問や明確化、ルート証明書の追加・変更申請CA/Browser Forum’s Baseline Requirements や他の要件に準じていない証明書に関する議論などが行われています。フォーラムでの議論に参加することは CA に要求しませんが、議論の内容を認識しておくことのみ要件とします。しかしながら、将来の Mozilla’s CA Certificate Program をより良いものとするため、各 CA が議論に参加していただけることを望んでいます。

この CA Communication は、CA が Mozilla’s CA Certificate Program に参加できるかどうかは私たちの判断のみで決まること、また私たちのユーザーを保護するためにはいかなる手段をも講じることを、 今一度繰り返し強調するものです。 とはいえ、セキュリティを維持する方法として最も良いのは、 パートナーとして CA と協力していくこと、 オープンで率直なコミュニケーションを促していくこと、 現状のさらなる改善方法を探すために努力していくことだと Mozilla は考えています。

Mozilla Security Team

※ この投稿は Mozilla Security Blog の記事 “Mozilla Releases Version 2.4 of CA Certificate Policy” の抄訳、また Mozilla Security Blog 日本語版からの クロスポスト です。