2018年はCA/Browser Forumにとって比較的忙しい一年でした。昨年起きた電子証明書に関する重要な出来事と、今後の見通しについて簡単にまとめました。
2018年に起こった重要な出来事
証明書の最大有効期間が更に短縮
2015年4月以降、証明書の最大有効期間は39か月(3年3か月)と定められていましたが、2018年3月1日以降に発行される証明書の最大有効期間は825日(2年3か月)に変更されました。有効期間が主要な変更点でしたが、審査情報の再利用についても過去825日以内に認証されている事も加わりました。そのため、審査から825日を過ぎた証明書への再発行もできなくなりました。
Ballot 193 – 825-day Certificate Lifetimes
FQDNでのアンダースコア使用廃止
FQDNでのアンダースコア「 _ 」の使用に関して、ここ数年議論が継続されており、最終的に使用廃止の結論がでました。アプリケーションによっては、デフォルトでアンダースコアを利用する設定になっていますが、これは厳密にはRFC 5280違反になります。そのためグローバルサインでは、数年前からアンダースコアを含むFQDNに対する証明書の発行を停止しています。
Ballot SC12: Sunset of Underscores in dNSNames
GDPR施行に伴うドメイン審査方法の変更
GDPRの施行により、WHOISで提供されるデータにも影響がありました。それに伴い、WHOISの取得情報にも制限ができ、ドメイン審査に必要な情報が取得できなくなりつつあります。特にメールと電話による認証に支障をきたすため、ドメイン所有者はDNS TXTもしくはCAAレコードへメールアドレスを記載すると認証用の新たな情報源として利用できることが承認されました。これは所有する各ドメインに一つ承認メールアドレスをDNSに置くこと、そして再審査の際にそれを繰り返し利用することができます。
Ballot SC13: CAA Contact Property and Associated E-mail Validation Methods
失効タイムラインの変更
証明書の失効に関しては、これまでは24時間以内とされていました。緊急性がないものでも24時間以内の失効要件だったため、証明書を利用している側でも対応の時間に迫られるかたちとなっていました。緊急性の度合いに合わせて許容時間を延長すべきという議論を行った結果、失効理由において緊急性に合わせて失効期間を延長し、最長1週間以内までに取り消しを行えるよう変更になりました。
Ballot SC6 – Revocation Timeline Extension
SSL証明書の認証レベルが今後の焦点
グローバルで常時SSL化の流れがある中、SSL証明書を利用しているフィッシングサイトも増加しているため、鍵のマークが必ずしも"安全"というわけではなくなっています。フィッシングサイトは、無料もしくは低コストかつ、早く簡単に入手できるという理由から、その多くはドメイン認証SSL(DV)を利用しています。しかし企業認証SSL(OV)またはEV SSL(EV)を利用しているという例もあり、調査によると共有ホスティングのウェブサイト(複数の顧客が単一の証明書を共有している)、もしくはハッキングされたサイトである事がわかっています。
そこで、CA側ではOV・EVをDVと差別化する取り組みが進められています。フィッシングサイトに利用されるOV・EVの数を減らし、DVの総合的な安全性を改善しようとするものです。そうすることで、最終にはブラウザ側が認証レベル(DV・OV・EV)毎に異なるUIを設定するよう促すことを目的としています。理想としては、DVは最低レベルの保護の新標準となり一番ニュートラルなUI、OVは鍵マークを表示、EVは現在と同じ緑のバーを維持することです。SSL証明書が利用されていない場合は警告がでるUIになる想定です。
理想とするUIイメージ
ドメイン認証SSL(DV)
企業認証SSL(OV)
EV SSL(EV)
SSL証明書なし
Forum内で皆様に関係する事項があれば、今後も進捗をとりまとめて掲載していきます。