} UPKI 電証明書発サービス最近のアップデート } これからの動き } 事件簿 2

2017 年 6 9 学術情報基盤オープンフォーラム国情報学研究所元明法

} クライアント証明書と S/MIME 証明書の発認証局を分離しました } NII OpenDomain CA - G4 ( 既存 ) } NII Open Domain S/MIME CA ( 新設 :S/MIME 専 ) } Microsoft Root Program の変更によるものです } サーバ証明書コード署名証明書 S/MIME の各途の証明書はそれぞれ別の CA から発すること } http://social.technet.microsoft.com/wiki/contents/article s/31633.microsoft-trusted-root-programrequirements.aspx } 発済みのクライアント証明書 (S/MIME 含む ) の失効は不要ですこれまで通りご利いただけます } ルート CA に追加変更はありません } 発申請 TSV のフォーマットにも変更はありません 3

} Minimum Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates への対応 } 証明書の主体者 DN に L= 市区町村 S= 都道府県が設定されます } 申請 TSV には旧来通り S= 使しない L=Academe を記載 } 証明書発時にサービスに登録済みの住所をもとに両者を設定 } この処理のため発に 1 2 営業を要します } コード署名証明書のダウンロード式は CSR 発のみとします } P12 でのダウンロードを廃します } 秘密鍵管理を厳格化するためです } コード署名証明書の厳格な管理をお願い申し上げます USB メモリ等の外部媒体へ保存し鍵付きキャビネット等に保管アクセス権限制限を設けた任意のフォルダにて厳重に管理など 4

} Minimum Requirements 対応 ( 続き ) } OCSP への対応 } OCSP サーバによるステータス情報の提供を開始します CRL によるものも引き続きご利いただけます } これまで発されたコード署名証明書の失効は不要ですが OCSP に対応した証明書が必要な場合は新規もしくは更新で取得してください } タイムスタンプの試験提供 ( 限定提供 ) } メールもしくはその他の段でサービス窓宛にコードアプリケーション等を送付の上ご依頼ください動対応のため処理に数頂戴します 5

} 2017 年 1 でサービス開始から 2 年が経過します } 登録担当者証明書は 25 ヶ (2 ヶ年 +30 ) で有効期限満了となります } 2017 年早々に更新作業が必要になります } 例 : } 2015 年 1 に登録担当者証明書取得有効期限は 2017 年 2 } 有効期限の 30 前から更新申請が可能になります } 証明書の更新には申請と本確認が必要です } 旧プロジェクトでは電話での連絡が必要でしたが本サービスでは UPKI 申請システムをいて更新申請できるようにいたします 6

} これまで Excel ファイルで作成いただいていた各申請書が Web サービスで作成できるようになりました } https://certs-office.nii.ac.jp } UPKI に関する全ての申請書が作成できます } ドメイン申請 } 機関情報変更申請 } 登録担当者情報変更申請 } 利期間更新申請 } サービス利申請 } 確認実施順調査票提出変更 } 体制図提出変更 } 登録担当者証明書更新申請 New! } 各申請に登録担当者と窓担当者がコメントをつける形で修正点などやりとりできます 7

} 2017 年 9 8 以降に SSL/TLS サーバ証明書を発する際認証局に DNS CAA(Certification Authority Authorization) レコードの検証が義務づけられることになった } DNS CAA レコード (RFC6844) } 信頼する認証局を記述できるレコード } 認証局は証明書発時にこのレコードを参照する } ここに記述のない認証局での発要求があった場合証明書を発せずレコード記載のメールアドレスもしくは URL に通報する } CA/ ブラウザフォーラムによる the Baseline Requirements 変更によるもの } 認証局の義務であってドメインを管理する者に記述が義務づけられるものではない 8

} CT:Certificate Transparency } 証明書発の透明性 } 共通の基準によりログに記載する } 当初は EV のみであったものが OV(UPKI の証明書はこちらです ) DV にも適されることとなった } 2017 年 10 からとされていましたがこれが来年に延期になっています } 来年からの UPKI 電証明書発サービスでどうするのか? は次の発表で 9

} Letʼs Encrypt and Comodo issue thousands of certificates for phishing } https://news.netcraft.com/archives/2017/04/12/let s-encrypt-and-comodo-issue-thousands-ofcertificates-for-phishing.html } フィッシングサイトの 96% は両認証局によって証明書が発されている } 動化され費もかからない点が魅か? } 当該サイトが正規のものかどうかの判断基準 } 依然として残る OV EV の強み } ただし Chrome では 10

} 2016 年 9 10 Apple, Google, Mozilla は WoSign と StartCom が発した証明書についてそれぞれが設定した時以降に発した証明書を信しないとした } https://security.googleblog.com/2016/10/distrustingwosign-and-startcom.html } https://blog.mozilla.org/security/2016/10/24/distrusting -new-wosign-and-startcom-certificates/ } https://support.apple.com/en-us/ht204132 } SHA1 で署名された証明書は 2016 年 1 1 以降発しないこととしていた業界団体の定めに反し発を偽装した証明書を発していたことが明らかになったため } これを含め証明書発のプロセスにも問題がみられたとしている 11

} Symantec 傘下の Thawte( ソート ) による google.com および www.google.com EV 証明書不正発事件 (2015 年 9 14 ) } Improved Digital Certificate Security } Google Security Blog } https://security.googleblog.com/2015/09/improveddigital-certificate-security.html } ドメイン持ち主の Google への確認をとらずに発 } Google は CT( 証明書発の透明性 ) ログからつかったとしている 12

} 2017 年 3 24 } Symantec がが所有しないドメインに対してテスト証明書を発していることが CT ログからつかった } 前項の事件の後再発防策が Symantec 側から提されていたがこれが全く徹底されていないとしている } これをうけて Google のエンジニアは下記 2 点の提案をう } Symantec と傘下の認証局から新規に発される SSL/TLS 証明書について有効期限を段階的に短縮し Chrome 64 で 279 以内の証明書しか受けれないようにする } またアドレスバーの EV 表 ( 緑の機関名表 ) を停する https://groups.google.com/a/chromium.org/forum/#!msg/blinkdev/euakwjihhbs/rpxmxjzhcqaj } Symantec も当然反論しているが } https://www.symantec.com/connect/ja/blogs/symantec -backs-its-ca-0 13

} 前項の記事が公表されるのと時期を同じくして Symantec の EV 証明書が Chrome のアドレスバーにおいて通常の OV や DV 証明書と同様の表になった } http://forest.watch.impress.co.jp/docs/news/10517 45.html } Chrome57 のバグであり Chrome58 にて修正 } https://knowledge.symantec.com/jp/support/sslcertificatessupport/index?page=content&id=info4287 14

} 制度的な変更が継続してみられます } 本サービスでは可能な限りそれらをフォローできるよう努めて参ります } 電証明書発に関するいくつかのニュースをとりあげてお伝えしました } 本サービスではサービス利機関に証明書発時の確認作業を実施いただいています } サービス利申請ドメイン申請時にいただいた確認実施順調査票によるものです } こちらに準拠して証明書発時の確認を実施していただければそうそう事故が起こるものではありません } UPKI 電証明書発サービスの維持のため引き続きのご協をお願い申し上げます 15

} 本サービス利機関 ( ) に対し, 証明書発もとであるセコムトラストシステムズより,EV 証明書が有償で提供されますサービスに登録したドメインである必要はありません } ご希望の機関には, セコムトラストシステムズより提供された申請ガイドを送付いたします } certs@nii.ac.jp までご依頼ください! } 申請ガイド受領以降の EV 証明書についてのお問い合わせ, 発続き, お払い等は, セコムトラストシステムズと直接ってください 16

EV SSL 証明書 ( セコムパスポート forweb EV2.0) の特徴機能アドレスバーが緑色に変化し安全性をアピール EV SSL 証明書対応ブラウザでアクセスするとアドレスバーが緑色に変化 OV( 組織認証 ) 証明書 ( セコムパスポート forweb SR3.0) では https:// でアクセスしてもアドレスバーの色は白色のままです危険なサイトはアドレスバーが赤色に変化 https:// でアクセスしたとき失効されている有効期限が切れている Web サイトの URL と一致していない疑わしいサイトの場合には危険なサイトとしてアドレスバーが赤色に変化します効果識別情報の表示で運営組織を確認フィッシング対策に有効従来ブラウザの鍵マークをクリックしなければ確認できなかったサーバー証明書に記載されている組織名がアドレスバーの横に表示されます EV SSL 証明書は実在証明としてより一層安全性をアピールすることができますセコムの Web ステッカーが EV SSL 証明書の更なる安全性を訴求

} UPKI 電 証明書発 サービス最近のアップデート } これからの動き } 事件簿 2

} UPKI 電証明書発サービス最近のアップデート } これからの動き } 事件簿 2