Mozilla、証明書ポリシー変更に向け最終草案を検討中

　Mozillaは、インターネットの証明書発行方法の問題に対処する基本方針の最終草案を検討している。

　Mozillaは、証明書を発行する認証局（CA）に対し、「Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates」（公的に信頼できる証明書の発行と管理における基本要件：PDFファイル）と呼ばれる標準を導入するよう求めている。この標準はCertification Authority/Browser Forum（CA/Browser Forum）が公開しているもので、まだ最終草案の段階にある。

　Mozillaのコンサルタントを務めるKathleen Wilson氏はMozilla開発者向けフォーラムで、CAが草案を確認し、これらの要件が自社の業務にどのような影響を及ぼすかについて懸念を表明できる期限を米国時間5月25日とする（4月11日から45日間）と述べた。

　Wilson氏はCAに送付する予定の書簡草案の中で、Mozillaは証明書ポリシーの「第2段階」にあたる項目のアップデートについて議論を始めたと述べている。

　「現行の議論では、登録局（RA）および下位認証局（Subordinate CA）に重点を置いている」と、Wilson氏は書簡の中に書いた。

　同氏によると、Mozillaのソフトウェアは2011年6月30日から中間CAおよびエンドエンティティのCAに対し、問題のあるハッシュアルゴリズムMD5（Message Digest Algorithm 5）で署名された証明書を拒否する予定で、「われわれのユーザーを保護するために必要ならば、前倒しして独自の判断によりこの措置を取る」という。

　2008年後半には、セキュリティ研究者がすでに、MD5のアルゴリズムに証明書を偽造する脆弱性が存在することを明らかにしていた。

　しかし、今回のニュースは一部のユーザーに不快感を与えたようで、Mozillaの開発者向けフォーラムにコメントが寄せられている。これらのユーザーたちは、意思決定プロセスから取り残されていると主張している。

　Mozillaは、Mozilla CA Certificate Policyに変更を加える前に、要件について議論するとWilson氏は述べている。