5月12日、EV SSL(Extended Validation SSL)証明書の認定プロセス等を策定するCA/ブラウザフォーラムは、アジアで初の会合を日本で開催した。これに伴って行なわれた記者発表会では、CA/ブラウザフォーラム設立の経緯や最新の検討課題についての説明が行なわれた。
EV SSL証明書誕生の経緯を追う
CA/ブラウザフォーラム議長のティム・モーゼス氏
発表会において挨拶に立ったCA/ブラウザフォーラム議長のティム・モーゼス氏は、SSLサーバー証明書の歴史を振り返り、CA/ブラウザフォーラム設立やEV SSL証明書の誕生までを振り返った。
ご存じのとおり、SSLはネットスケープ・コミュニケーションズの開発した暗号化技術で、Webの世界でのセキュリティ標準となっている。当初はネットスケープのWebブラウザのみサポートしていればよかったが、その後Webブラウザの種類や認証局自体が増えてきたことで、サーバー証明書の規格や認証局の運用に関するルールが必要になってきたという。「認証局の運用に関するルールがないこと自体がインターネットでの脅威になる。そこで登場したのが、認証局のシステムや安全性を監査するWebTrustという仕組み」(モーゼス氏)になる。WebTrust規準に基づいたルート認証局は、各Webブラウザにおいて、「信頼されたルート証明機関」として登録されることになる。
WebTrustは、認証局そのものの運用を監査するもので、盗聴という脅威を防ぐには大きな役割を果たした。ところが、証明書取得時の審査プロセスが認証局ベンダーによってまちまちという問題のほか、盗聴に代わってフィッシングのような問題が出てきた。審査の厳格さに関係なくサーバー証明書は同一であるため、フィッシングサイトを信頼させる手段として証明書が使われるようになってきたという問題が顕在化してきた。しかし、「コンシューマがどの認証局が安全かを見分けていくのは非現実的」(モーゼス氏)とのことで、認証局やWebブラウザのベンダーで、CA/ブラウザフォーラムが設立された。そして、Webサイトを所有する組織の実在性や責任者、ドメインの管理などを厳密に審査するEV SSLサーバー証明書が登場することになる。
こうしたCA/ブラウザフォーラムの功績として、モーゼス氏は「Webブラウザのベンダーがユーザーインターフェイスを変えることに同意したことがなにより重要。また、緑色で安全であることをアピールすることで、アクセスが増えるという結果にもなっている」と語った。だが、今までこのEV SSLサーバー認証のガイドライン策定に関わったメンバーの多くが米英の出身に偏っていた。そのため、グローバルでの地域差を埋めるため、日本でCAブラウザフォーラムが開催されたとのことだ。
組織の英表記をどうするか?
CA/ブラウザフォーラムの支部にあたる日本電子認証協議会(JCAF)の秋山卓司氏
CA/ブラウザフォーラムの日本支部にあたる一般社団法人 日本電子認証協議会によると、今回のディスカッションは、日本をはじめとするアジアの商習慣に認証プロセスをどのように合わせるべきか、まだまだ認知度の低いEV SSLのアピールをいかに行なっていくのか、などといった内容が中心になったとのことだ。
検討された商習慣の違いとしては、組織名称の表記という問題がある。CA/ブラウザフォーラムの規定では、組織名の表記に関して登記した法人名(Fully Legal Name)という規定があるが、現状日本では定款に書かれている英表記か、上場企業の金融データベースでの英表記を用いることになるという。そのため、定款に英表記がなく、上場していない会社はローマ字を使う。だが、そもそもローマ字の表記が訓令式、日本式、ヘボン式とゆれているほか、あえてローマ字にすると組織名がとても長くなってしまうという弱点がある。また、日本(ニッポン/ニホン)のように、そもそも読み方が複数ある場合の対応も問題になるという。そのため、登記した法人名をよりゆるく解釈し、英文をある程度自由に使えるように規定し直す必要があるという。
また、Webサイトの安全性を可視化するだけではなく、メールやダウンロードソフトウェアのEV化に関しても論議されているという。
その他、携帯電話やスマートフォンについての対応に関してもコメントされた。現状、独自仕様の日本の携帯電話に関しては、EV SSLの対応とともにルック&フィールを共通化してもらいたいという要望を各メーカーに対して出している状態だという。スマートフォンに関しては、CAブラウザフォーラムにはBlackBerryの開発元であるRIM、Androidの開発元であるグーグル、iPhoneやiPadの開発元であるアップルなどのスマートフォンベンダーが加入したことで、EV SSL対応が進んでいるようだ。実際iPhone OS 3.1に搭載されているSafariがEV SSL対応しており、グリーンバーが表示されるとのこと。
現状、CA/ブラウザフォーラムの役割は「各国で異なる組織の枠組みを、最大公約数的に定義づけていくプロセス」(JCAF 秋山卓司氏)とのことで、今後ISO化もにらんで活動するという。
