- ベストアンサー
第三者認証局(ルートCA)の信頼性はどのように確保されているのか?
ブラウザに登録されているベリサイン、ジオトラストやマイクロソフトなどのルートCAは自己署名を行い自身の信頼性を保障していることはわかるのですが、電子署名に関する事業を行う場合、どこからか許可を得ているのでしょうか? 各国政府、IEEEのような国際的な機関、非営利団体などの組織で、認証に関する認可や取り決めなどが決められているのか、また、ルートCAと呼ばれる組織はいくつもありますが、すべてを統括する組織はあるのでしょうか? どなたかご教示よろしくお願いします。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ルートCAを事業として営む場合、国や地域によって制限する法律があればそれに従う必要がありますが、それがなければ、特に許可は必要ありません。 問題は、許可を得られるかどうかではなく、ブラウザ製作者にルートCAとして認めてもらえるか、ひいてはエンドユーザに使ってもらえるかどうか、です。 ルートCAやブラウザにかかわらず、インターネットは政府や国際機関によって統治されているのではありません。 インターネットのガバナンスについては近年議論もされていますが、現状については http://dictionary.rbbtoday.com/Details/term68.html などを参考にしてください。 どのルート証明書をブラウザに組み込むか、という基準は、ブラウザ製作者自身が決めます。 その基準とプロセスが公開されていて、しかも、一般消費者がブラウザを選択する自由が確保されている限り、ルートCAを統括するような組織は必要ないと思います。 各国政府や国際機関は、ブラウザに限らず、コンピューティングの世界でマーケットが正常な競争状態にあることを監視してくれるだけでいいと思います。 インターネットエクスプローラの基準は http://www.microsoft.com/japan/technet/security/news/rootcert.asp にあります。 FireFoxの基準は、まだ正式版がないようですが、ドラフトは http://www.hecker.org/mozilla/ca-certificate-policy にあります。 どちらの基準もWebTrustプログラムに言及しています。 このプログラムのガイドは http://www.webtrust.org/CertAuth_fin.htm にあります。
その他の回答 (1)
- kfir2001
- ベストアンサー率35% (163/455)
最近は、WebTrust規準というのがありますね。 「信頼される認証機関」として認定しようということです。 一方、認証局を統括する組織はありません。 例えば、LGPKIという日本国政府の外郭団体の作った認証局があるのですが、サービス開始から数年たった今でも、WebTrustも取ろうとしませんし、Webブラウザーにも組み込まれていません。
お礼
ありがとうございました。
お礼
提示していただいた資料が参考になりました。ありがとうございました。 個人情報保護法との関係も気になるところです。