CA/Browser Forumとは
CA/Browser Forum(CAブラウザーフォーラム)は、 電子証明書を使った通信の安全性やその利便性を向上させるためのガイドラインを策定している会員制の任意団体です*1。 Webブラウザーの画面で、 アクセスしているWebサーバの運営組織の名前が表示されるEV SSLのガイドラインを作成したことでも*2知られています。 このガイドラインに則る形で発行されているのが、EV SSL証明書です。
フォーラムの会員には、COMODO社、DigiCert社、 Symantec社*3といった認証局事業者の他にApple社やGoogle社、Microsoft社、Mozilla社、 Opera Software社といったWebブラウザーを開発しているソフトウェアベンダーなど、 30以上の組織が入っています(2014年4月現在)。 ガイドラインの改訂などに関する議論は、毎月行われる会議やメーリングリストで行われます。 議決は会員による投票を通じて行われます*4。
2014年4月現在のフォーラムの注目すべき動向としては、以下が挙げられます。
-
Baseline Requirementsに基づく新たな監査基準の発表
2014年4月に策定されたBaseline Requirementsに基づいたEV SSL、 Network Security、Code Signingの三つの監査基準が公開されました*5。 -
新gTLDの登録開始に伴う名前衝突(Name Collision)*6への対応
「.site」や「.local」といったネットワークの内部で使われるようなドメイン名のサーバ証明書、 いわゆる内部利用を目的としたドメイン名の証明書*7を段階的に廃止するガイドラインが発表されました*8。
国内でも良く知られる、 認証局事業者に対する監査の基準である"WebTrust for CA"*9はAICPA(米国公認会計士協会)とCICA(カナダ公認会計士協会)によって作成されていますが、 その内容は本フォーラムで策定されたガイドラインに基づいています。
*1 CA/Browser Forum | CAB Forum https://cabforum.org/
*2 About EV SSL | CAB Forum https://cabforum.org/about-ev-ssl/
*3 国内の認証局事業者として知られる日本ベリサイン社は、2010年8月米国Symantec社に事業が統合されました。
*4 どの会員がどのように投票したかを含めて議事録のWebページで公開されています。
*5 WebTrust Releases New Audit Criteria for Extended Validation and Baseline Requirements | CAB Forum
https://cabforum.org/2014/04/05/webtrust-releases-new-audit-criteria-extended-validation-baseline-requirements/
*6 インターネット用語1分解説~名前衝突(Name Collision)とは~
https://www.nic.ad.jp/ja/basics/terms/name-collision.html
*7 インターネット用語1分解説~内部利用を目的としたドメイン名の証明書とは~
https://www.nic.ad.jp/ja/basics/terms/internal-certificate.html
*8 Guidance on the Deprecation of Internal Server Names and Reserved IP Addresses
https://cabforum.org/internal-names/
*9 WebTrust for CAの監査基準は、この基準を満たす認証局の証明書が、 あらかじめWebブラウザーに組み込まれるという仕組みの一つとして知られています。 ユーザーがインストールしなくても認証局の証明書が自動的に"信頼されたもの" として使われます。 監査を通じて認証局の信頼性が担保されるため、 ユーザーはおのおのの認証局を信用すべきかどうかを確認する必要がないという特徴があります。
