WIDE Technical-Report in 2010 moCA(members oriented Certification Authority) WGの年間活動報告 wide-tr-moca-report2009-01.txt WIDE Project: http://www.wide.ad.jp/ If you have any comments on this document, please contact to ad@wide.ad.jp. Title: moCA(members oriented Certification Authority) WGの年間活動報告 Author(s): 櫻井三子 (mine@ax.jp.nec.com), 木村泰司 (taiji-k@nic.ad.jp) Date: 2010-01-06 目次: 1. moCA WG 2009年度の活動 2. 証明書の更新 3. まとめ 付録. フィンガープリントの一覧 Copyright Notice 1. moCA WG 2009年度の活動   moCA WGはCA(Certification Authority)の振る舞いや証明書の扱いに注目 し、WIDEプロジェクト内でCAの運用実験を行っているWGである。利用環境や 利用法に関する情報交換も行われている。moCA WGで運用されている認証局を 以下に示す。 - WIDE ROOT CA WIDEプロジェクトにおけるトラストアンカーを提供する目的で設置さ れたルートCAである。次のmoCAの他にSOI WGなど特定のワーキンググ ループ活動目的に応じて構築されたCAもこのCAの下位CAである。WIDE ROOT CAのフィンガープリント(*1)を「付録. フィンガープリントの一 覧」に載せる。 (*1) 補足:フィンガープリント WIDE ROOT CAを基点とするCAのツリー構造の中で発行されている 「WIDEメンバ証明書」などを利用するためには、Webブラウザな どを使ってフィンガープリントの値を確認し、WIDE ROOT CAの正 しい電子証明書データを入手する必要がある。 - moCA (members oriented CA) WIDEメンバの電子証明書である「WIDEメンバ証明書」を発行する他、 WIDEプロジェクト内で使われるサーバ証明書の「WIDEサーバ証明書」 の発行を行う。  2009年は、継続してCAの運用を行ったほか、WIDEメンバ証明書の有効期限 の変更やmoCAのWebページのデザイン変更準備作業などが行われた。 2. 証明書の更新  例年と同様に2009年も6月にWIDEメンバ証明書とWIDEサーバ証明書の更新を 行った。  WIDEメンバ証明書の更新は、既存のユーザに対して新たに鍵ペアを生成し、 有効期限を新しくした証明書を配布する形で行われた。WIDEサーバ証明書は、 基本的に既存のサーバ証明書の鍵ペアを生成せず、有効期限を伸ばした証明 書を発行する形で行われた。 (1) WIDEメンバ証明書について  例年は、WIDEメンバ証明書は有効期間を1年間として、WIDEメンバ全員 に電子メールで一斉送付する方法をとってきた。しかし、毎年WIDEメン バ証明書をWebブラウザに設定するのは、WIDEメンバの負担が大きいとい う意見をきっかけとして、WIDEメンバ証明書の有効期間を2年間とした。  今まで有効期間を1年間としてきた背景としては、毎年、学生メンバが 卒業を機にWIDEの活動を一旦完了とするケースが相当数あることを考慮 して、有効期間を短くして有効期間内の失効の手間を軽くする狙いがあっ た。このような背景のもと、WIDEメンバ証明書の有効期間を2年間とした 場合の懸念事項としては、有効期間内に証明書を紛失する頻度が高まり、 証明書の失効リスト(CRL)のサイズが大きくなることが挙げられた。BoF やワーキンググループで議論をした結果、今回はWIDEメンバ証明書を利 用するWIDEメンバの負担を減らす方向で有効期間を2年間とし、CRLのサ イズがどの程度大きくなるか、実際に試した結果によって再検討するこ ととした。もともと、学生メンバの卒業によるメンバシップ失効につい ては、あくまで学生メンバの意思によって発生するものであり、卒業と 同時にメンバシップを失効する運用とはしていない。したがって、WIDE メンバ証明書の失効手続きの負担が大きく増すわけではないと予想して いる。  2009年6月のWIDEメンバ証明書一斉配付時の発行数は、841である。 2009年6月以降のWIDEメンバ証明書の失効数は6である(2009年12月7日現 在)。次回のWIDEメンバ証明書の一斉配付は、2011年6月となる。それま での間は、WIDEメンバの失効とWIDEメンバ証明書の失効との関係の考察 に重点を置く。 (2) WIDEサーバ証明書について  WIDEサーバ証明書は、WIDEメンバであれば発行を申し込むことができ るSSL/TLSサーバのサーバ証明書である。WIDEサーバ証明書は主にWIDEメ ンバがアクセスするWGのサーバ等で使われている。  WIDEサーバ証明書は、新規発行は随時受け付けられており、更新は毎 年6月に行われている。ここで言う更新とは鍵ペアの変更を行わずに有効 期限を更新した証明書を発行することで、WIDEサーバ証明書の利用者 ("WIDEサーバ証明書の管理者"と呼ばれる)が各自更新用のWebページに アクセスして行う。  2009年7月以降のWIDEサーバ証明書の発行状況を以下に示す。 ○サーバ証明書発行数 24 ※同一サーバに対して発行された複数の証明書を含む ○ホスト数 22 ※同一サーバは1と数える ○6月以前から利用を継続しているサーバの数 21  WIDEサーバ証明書の更新にあたっては、例年通り、サーバ証明書の申 請者自身がサーバ証明書を更新できるWebインターフェースを提供し、 一定のレベルの登録業務が行われるようにした。 (3) moCA Webページのデザイン変更について  WIDEでは証明書を使った環境に関する情報交換が適宜行われている。その 情報交換の活性化や古いドキュメントの整理を目的として、moCAのWebページ の変更作業が進められた。  ドラフト作成作業は完了したが、英語版のページを提供するかどうかなど の詳細な作業が残っており2009年12月11日時点で公開には至っていない。今 後作業を進めWebページ更新を図りたい。なお、2009年WIDE春合宿に行われた "cool webside designワークショップ"が活用されたことを述べておく。 5. まとめ  WIDEサーバ証明書は、WIDEメンバ専用ページの他にWIDE wiki やtwoサー バ、CSAW(Collaboration Support Architecture for WIDE-community)、 WIDE合宿の参加登録や、WIDE合宿における無線LAN等、他WGの活動において利 用されている。  2008年に引き続き、WIDEにおける電子証明書の利用環境に関わる動作検証 や情報交換は、主にmoCA WGのメンバによって行いサポートに生かされた。 付録.フィンガープリントの一覧 (wide-tr-moca-fingerprint-07.txt 参照) Copyright Notice Copyright (C) WIDE Project (2009-2010). All Rights Reserved.