高木さんのBlog『高木浩光@自宅の日記』はすごいです。
『高木浩光@自宅の日記 - 民間ブランドが行政機関には無益なのならVeriSign独占化を避けるべき, LGPKI Application CAに将来はあるのか』やその前の記事では、これまでも何度も議論されているプライベートCA(ここではメジャーではないCAや、Webブラウザに最初から登録されていないCAを指しています)から発行されたSSLサーバ証明書について、非常に内容が濃く語られていて、驚かされるばかりです。これほど丁寧に取材もされているので、もっともっと大々的にこの議論はしないといけないと思うのですが。
個人的には行政の担当者がPKIに関して深い知識があるとは全く考えていないですし、期待もしていなかったので、埼玉県庁・広島市役所・高知県からの回答の内容にはあまり驚くことはなかったです。
それにしても、ルートCAの証明書の安全な配布方法という点については、昔からPKIの関係者の間では懸念していた問題だったと思います。
まだPKIが世の中に広がっていないときには、イントラネット内でのPKIの利用やSET(Secure Electronic Transaction)など、比較的クローズな環境で利用されていました。そのような環境では証明書を利用するアプリケーションは業務アプリケーションだったり特殊なアプリケーションである場合が多かったため、ルートCA証明書を予めアプリケーションに組み込んで配布しやすかったと思います。また、イントラネット内でのSSLを行なう場合には、社員のPCのWebブラウザにルートCA証明書を組み込むだけでよかったため、それほど問題にはならなかったんだと思います。
しかし、現在のようにインターネットでのSSLサーバが当たり前のインフラとなってしまった場合には、エンドユーザに対するルートCA証明書の配布方法が非常にネックになってきてしまいました。
個人的にはこの点についてはPKIX Working Groupで議論し、一般的で普及しやすい形のプロトコルや手順を定義するべきであると考えています。
例えば、Internet X.509 Public Key Infrastructure Certificate Management Protocols (RFC 2510)でも、ルートCA証明書の配布方法は“out-of-band”としており、この問題から逃げている感じがして仕方ありません。
高木さんのBlogにも登場する日本認証サービスについても、Microsoft Internet Explorer 5.01から「信頼する証明書」として登録されるようになりました。このときは、ちょうどNetscape Navigatorの将来性が不安視されていた時代であったことが原因かどうかはわからないですが、Netscape NavigatorのCA証明書には登録されていません。自分で登録してくださいというスタンス。
今となっては、Firefox、Operaなどの主要なWebブラウザ、SunのJRE(Java Runtime Environment)には最低限、ルートCA証明書を登録してもらうように日本認証サービスも働きかけをするべきでしょう。
このままでは確かに日本のPKI市場はVeriSign社などの外資系ベンダーの独占状態になることは明らかです。
ビジネス的・技術的な問題があると思いますが、VeriSign社と日本認証サービスのCA同士で相互認証(Cross-Certification)するなどして、日本認証サービスのSSLサーバ証明書がもっと簡単に利用できるようにして欲しいものです。
日本認証サービスは日本の名だたる企業が出資してできた会社でもありますので、このままでは終わって欲しくないな。でも、日本認証サービスが電子政府関連だけで今後も商売していき、コンシューマ向けには目も向けないという方針なのであれば、大きなお世話かもしれませんが。
それにしても、久しぶりに日本認証サービスのWebサイトを見てみたら、結構、変わってしまったようです。電子政府関係ばかりのようですが、今度、じっくりと読んでみようっと。