WIDE Technical-Report in 2010 moCA(members oriented Certification Authority) WGの年間活動報告 wide-tr-moca-report2010-00.txt WIDE Project: http://www.wide.ad.jp/ If you have any comments on WIDE documents, please contact to board@wide.ad.jp. Title: moCA(members oriented Certification Authority) WGの年間活動報告 Author(s): 木村泰司 (taiji-k@nic.ad.jp) Date: 2010-12-16 目次: 1. moCA WG 2010年度の活動 2. 証明書の更新 3. まとめ 付録. フィンガープリントの一覧 Copyright Notice 1. moCA WG 2010年度の活動   moCA WGはCA(Certification Authority)の振る舞いや証明書の扱いに注目 し、WIDEプロジェクト内でCAの運用実験を行っているWGである。利用環境や 利用法に関する情報交換も行われている。moCA WGで運用されている認証局を 以下に示す。 - WIDE ROOT CA WIDEプロジェクトにおけるトラストアンカーを提供する目的で設置さ れたルートCAである。次のmoCAの他にSOI WGなど特定のワーキンググ ループ活動目的に応じて構築されたCAはこのCAの下位CAである。 - moCA (members oriented CA) WIDEメンバの電子証明書である「WIDEメンバ証明書」を発行する他、 WIDEプロジェクト内で使われるサーバ証明書の「WIDEサーバ証明書」 の発行を行う。  2010年は、継続してCAの運用を行いWIDEメンバへの鍵対の提供を行ったほ か、WIDEメンバ証明書をUNIXコマンドを使って失効するコマンドの作成や Webページのデザイン変更などを行った。 2. WIDEメンバへの鍵対の提供  2009年にmoCAが発行するWIDEメンバ証明書の有効期限を変更したため、 2010年はWIDEメンバ証明書の更新作業を行わなかった。 (1) WIDEメンバ証明書について  2008年まで、WIDEメンバ証明書の有効期間は1年間であり、毎年WIDEメ ンバ全員にWIDEメンバ証明書を一斉送付してきた。しかし、Webブラウザ 等のWIDEメンバ証明書をインストールするソフトウェアの設定変更を、 毎年行うことはWIDEメンバの負担が大きいという意見をきっかけとして、 2009年6月、WIDEメンバ証明書の有効期間を2年間とした。  2009年6月のWIDEメンバ証明書一斉配付時の発行数は、841であった。 このうち失効されているものは19である(2010年12月現在)。次回のWIDE メンバ証明書の一斉配付は、2011年6月である。  今のところCRL(Certificate Revocation List - 失効された証明書の 一覧データ)のサイズは1Kバイト程度であり、特に不具合は報告されてい ない。 (2) WIDEサーバ証明書について  WIDEサーバ証明書は、WIDEメンバが発行を申し込むことができる SSL/TLSのサーバ証明書である。WIDEサーバ証明書は主にWIDEメンバがア クセスすることを目的としたWIDE合宿やWGのサーバで使われている。  WIDEサーバ証明書は、新規発行は随時受け付けられており、更新は毎 年6月に行われている。更新は鍵ペアの変更を行わずに有効期限を更新し た証明書を発行することで、WIDEサーバ証明書の利用者が有効なサーバ 証明書を得られるようになっている。  WIDEサーバ証明書の発行状況を以下に示す。数量は2009年6月以降に発 行されたもので有効なものを数えている。 ○サーバ証明書発行数 31 ※同一サーバに対して発行された複数の証明書を含む ○ホスト数 25 ※同一サーバは1と数える ○6月以前から利用を継続しているサーバの数 23 3. 失効コマンドの作成  認証局ソフトウェアの見直し活動の一環として、WIDEメンバDBとの連携を 図るため、UNIXコマンドとして動作する失効プログラムを作成した。これま では、WIDEメンバ証明書の失効を行うためにWebインターフェースを使う必要 があった。今後は、WIDEメンバの追加や削除の際にWIDEメンバ証明書を自動 的に発行するだけでなく、失効を行うことができる。 4. Webページのデザイン変更  PKIやmoCAに関する情報集約やドキュメント整備の一環として、moCA WGの Webページのデザイン変更とトップページの英語訳作成を行った。Webページ のデザインは、2009年に用意されていたものを使用した。この他に、moCAが 発行している電子証明書の種類や用途を説明する文書作成などを行った。 5. moCAによって発行された証明書の有効期限の監視  2010年は、WIDEサーバ証明書の更新を例年のように6月に更新作業をできな かった。これはWIDEメンバ証明書の更新作業と同時作業として行っていた WIDEサーバ証明書の更新作業の必要性に気づかなかったためである。そこで、 moCAのオペレーターがWIDEサーバ証明書の有効期限が近づいたことに気づく ため、two WGの監視サーバを利用したWIDEサーバ証明書の有効期限の監視を 開始した。 5. まとめ  2010年は、moCAを実験から運用に適した形にするための作業が行われた。 moCA WGの趣意書ではこれまでに述べた活動の他に、暗号アルゴリズム移行や 認証局ソフトウェアの改良が予定されていたが、実施には至らなかった。残っ た課題は中期的な課題であるが、WIDEにおいて電子証明書が普及している状 況を鑑みると今後も継続して活動することが重要である。 付録.フィンガープリントの一覧 (wide-tr-moca-fingerprint-08.txt 参照) Copyright Notice Copyright (C) WIDE Project (2009-2011). All Rights Reserved.