ブラウザにはInternet Explorer・Chrome・Firefoxなど様々な種類がありますが、SSL通信を行う上でCAのルート証明書が各ブラウザに組み込まれていない証明書をWebサーバーに設定した場合、ブラウザ側はWebサイトの信頼が保証されないといった警告表示をします。
モジラでは、mozilla.dev.security.policyと呼ばれるフォーラム内でモジラCA CertificatePolicyについて議論を行っています。
現在CA:CertificatePolicyV2.1を公開し、モジラ製品にルート証明書を搭載する各CAは、全てこちらのポリシーに準拠しております。既にフォーラム内でV2.2の公開に向けて準備中ですが、今回は新たに追加されるポリシーの一つを紹介したいと思います。
Mozilla CA Certificate Enforcement Policy #item3
MITM(Man In The Middle)用等に信頼済みルート認証局から意図的に証明書を発行した場合、該当の証明書をモジラプロダクトから削除もしくは利用不可とする。
HTTPSの良いところにEnd to Endでの暗号化通信がありますが、社内のネットワーク管理者からすれば、暗号化された通信経路上のやり取りは監視が行えなくなるため、社内のポリシーに違反しているかどうか追跡することが困難となります。
SSLインスペクションと呼ばれる機能を用いて、社内のSSL通信を監視し、通信経路上に流れるネットワークログの収集やマルウェアの検知を行う機器メーカーは多くあります。
それらの機器は、社内端末に機器で作成した自己署名のルート証明書をブラウザにインストールさせていたのですが、あらかじめルート証明書が組み込まれている信頼済みのCAから中間証明書を発行してもらうことで、そのような手間を省くことができます。
2012年2月に、パブリックCAの1社がData Loss Prevention システム用に中間CA証明書を発行していたことがわかりました。こちらのケースではHardware Security Module内にて秘密鍵を管理し、更に社内利用のみに限定されていたとのことですが、このような目的での証明書発行はルールを設けて禁止にしようという議論が、2012年2月頃にモジラセキュリティポリシーフォーラム内でありました。
議論が始まってから既に1年以上経過しましたが、ようやく2013年度中に公開されるモジラのCertificatePolicy2.2にて反映される見込みです。