日本ベリサインは2013年2月14日、SSLサーバー証明書発行サービス「マネージドPKI for SSL」で選択可能な公開鍵暗号方式を拡充すると発表した(写真)。2013年上半期(2月26日を目標)から、従来のRSA(素因数分解による公開鍵暗号方式)に加えてECC(楕円曲線による公開鍵暗号方式)とDSA(離散対数による公開鍵暗号方式)を選択できるようにする。発行料金はRSA/ECC/DSAのいずれも選んでも同一であるほか、RSA証明書(1枚)の発行料金だけでRSA/ECC/DSAの3種類の証明書(3枚分の証明書)を同時に発行できる。
RSA以外の公開鍵暗号を用いた証明書発行サービスは、商用サービスとしては初めて、としている。ECCやDSAの証明書は、これらを利用可能なSSL製品(Webサーバー/Webブラウザーなど)において利用できる。日本ベリサインによれば、現在の主要なWebサーバー/ブラウザー環境(負荷分散装置やSSLアクセラレーター含む)で利用できるという。Webサーバーの設定によるが、複数方式の証明書を用意してWebブラウザー側の環境に合わせて使い分ける運用ができる。
公開鍵暗号の種類を増やした理由は、主にECCにおいてRSAよりも計算処理の負荷が軽くなること、である。同じ鍵長であればRSAよりもECCの方が暗号強度が高くなる。具体的には、現在主流のSSL証明書は鍵長2048ビットのRSAが一般的だが、3072ビット換算のRSAに相当する暗号強度をECCでは256ビット長で実現できるという。ECCを使うことで、Webサーバーは、より短時間により多くのSSLコネクションを確立できるようになる。一方、DSAはRSAとほぼ同じ暗号強度であるという。
ECC証明書とDSA証明書の発行方法は、マネージドPKI for SSLの証明書の購入画面で、RSA/ECC/DSAのいずれかを指定するというもの。具体的には、以下の四つの選択肢から選ぶ。(1)RSA、鍵長2048ビット、ハッシュはSHA-1。(2)RSA 2048ビット、SHA-256。(3)DSA 2048ビット、SHA-256。(4)ECC 256ビット、SHA-256。
前提となるマネージドPKI for SSLは4種類の商品メニューがあり、価格(税込み)は以下の通り。下位の「セキュア・サーバID」は、RSA/DSAが利用可能で、有効期限1年間の証明書が8万5050円など。上位の「グローバル・サーバID」は、RSA/ECC/DSAが利用可能で、有効期限1年間の証明書が14万4900円など。また、発行プロセスが厳格なEV証明書は、「セキュア・サーバID EV」が有効期限1年間で17万100円、「グローバル・サーバID EV」が有効期限1年間で22万9950円、など。
