高木浩光＠自宅の日記

■ 「UPKIイニシアティブ」でサーバ証明書発行プロジェクト

昨夜気付いたのだが、UPKI（全国大学共同電子認証基盤）が既に今年からサーバ証明書の発行を開始していた。「UPKIイニシアティブ」のサイトに説明文書と資料が公開されている。

実は私も2年前に東工大の客員の仕事として東工大経由でUPKIの設計に意見を挟ませて頂いたことがある。GPKIとLGPKIの失敗を繰り返さないため、Web用のSSLサーバ証明書については、構築する独自PKIとは分けるべきである旨を意見した。2つの選択肢があり、1つは、Web用のSSLサーバ証明書については普通に既存のCAから買って済ませる方法、もう1つは、Webブラウザで初めから利用できる状態にある形の認証局を構築して発行する方法である。

どうなったかは、「サーバ証明書発行・導入における啓発・評価研究プロジェクト」にある資料から窺い知れる。2007年6月8日のワークショップの資料によると、図1のように、Webサーバ用とS/MIME用の「Public PKI」と、「University PKI」とが分けられている。

図1: 片岡俊幸,「これからのPKI: 〜さまざまな大学内サービスの認証・認可の統合〜」, p6 より

https://upki-portal.nii.ac.jp/のサーバ証明書を見てみると、「NII Open Domain CA」という認証局からサーバ証明書が発行されており、図2の認証パスになっているようだ。

図2: UPKI発行のサーバ証明書の例

これは正しい。GPKIのような「○○省運用支援認証局」などというわけのわからない認証局*1ではない。

プロジェクトのFAQによると、SINETに加入している大学等に参加資格があり、無料でサーバ証明書の発行を受けられるようだ。ただし、研究という位置付けになっているためか、期間限定であり、発行されるサーバ証明書の有効期限は、2009年3月末のようだ。その先については、

平成21年度以降については、事業化を目指してはいますが、本年度のプロジェクトの評価等を踏まえ、平成20年5月ごろに決定する予定です。

とされている。事業化にあたっては、費用負担をどうするのかとか、最終的に既存の民間CAから買うのと比べて安いのかどうか、セキュリティ上達成できている性質に優位性があるのかといったあたりが評価の軸となると思われる。

これまでにいくつの大学等に発行されたのかはわからなかったが、参加大学はまだ少ないようだ。少なくともここに参加している大学は、オレオレ証明書で運用するなどという状況は生じていないのではないか。

チュートリアル資料には、「オレオレ証明書」という言葉も使われて説明されていた（図3）。

図3: 島岡政基, 「身近なPKI: サーバ証明書の重要性」, p8, 10より

日記予定

• PKIよくある勘違い(11)「うちより下等な会社に認証してもらうなど言語道断だ」