日本ベリサインは2012年2月8日、「認証局の安全性とSSLサーバー証明書の暗号強度」と題する説明会を開催。テーマの一つとして「暗号の2010年問題」を取り上げ、現状における問題点や同社の取り組みを紹介した。
暗号の2010年問題とは、暗号技術の寿命が尽きることで起こる問題のこと。米国の国立標準技術研究所(NIST)が、2010年をめどに弱い暗号技術の使用を停止する方針を発表したことから「2010年問題」と呼ばれる。停止の対象となるのは、公開鍵暗号では鍵長1024ビットのRSA、ハッシュ関数ではSHA-1など。
これらの暗号技術は例えば鍵長2048ビットのRSAやSHA-2といった、より安全な暗号技術に切り替えることになっている。個人ユーザーや企業ユーザーも同じことが強要されるわけではないが、弱い暗号技術を使い続けていると、通信の中身を盗聴されるなどの問題が発生する可能性がある。このため、WebサイトやWebブラウザーなどにおける対応が注目されている。
日本ベリサインによれば、SSLサーバー証明書の公開鍵暗号については一部のモバイルサイトを除き、多くのWebサイトが2048ビットRSAに対応済みという。一方で、ハッシュ関数についてはWebブラウザーなどの対応が遅れており、ほとんどがSHA-1のままだという。「Windows XP SP2以前のWindowsや2008年以前に発売された携帯電話機など一部でSHA-2に対応できないものが存在しており、業界として対応を先送りにしてきた事情がある」(同社SSL製品本部SSLプロダクトマーケティング部プロダクトマーケティングチーム アシスタントマネージャーの上杉謙二氏、写真)。
そこで同社はハッシュ関数の世代交代を促進するため、SHA-2を署名アルゴリズムに採用したSSLサーバー証明書の提供を2月下旬にも開始する。実際のサーバーで使える商用のSSLサーバー証明書を提供する認証事業者としては国内初という。「大規模なECサイトや銀行などでは完全移行まで2~3年かかるので、今から徐々に切り替えていってほしい」(上杉氏)とする。
なお今回の説明会では、業界団体の「CA/Browserフォーラム」がまとめた新しい業界標準「Baseline Requirement」(BR)の紹介があった。これは、認証方法やインフラ管理、セキュリティ管理、監査といった項目で認証局が達成すべき水準を定めたもの。米グーグルや米マイクロソフト、米アップルなどの主だったWebブラウザーベンダーがBRに賛同しており、2012年7月1日の発効を予定している。BR発効後は、「予約アドレス(プライベートアドレス)やプライベートドメイン名への証明書の発効停止と強制執行」や「有効期限60カ月を超える証明書は発効できない」などの影響がある。なお、CA/BrowserフォーラムのホームページではBRの第1版が公開されている。
