Microsoft ルート証明書プログラムのメンバ (2009 年 2 月)
2009年2月24日にWindowsのルート証明書の更新パッケージが公開されたそうで、Windows Updateでも更新できるようになっているので、更新の前後でどんな感じか見てみました。
#そのために、現状の信頼するルート認証機関を全てごっそりファイルに落とすプログラムを作ったりもしました。
インストールはフツーにWindows Updateの「追加選択(ソフトウェア)」から選択してインストールすることができます。
テストしたマシンでは今まで一度もルートの更新はした事がないような気がします。余分なテスト用のプライベートCA、社内プライベートCAなど削って計算してみるに、
となりました。セットアップしてから途中Windows Updateとかでルートを更新したことが無いと思うにしても、この増え方は尋常ではありませんね(^^;特に怪しい国のCAが異常に増えちゃったような気がします。
ETSI ESI会議の中でもEUでEV証明書を発行するための標準(TS)を独Teletrustなんかが中心にやっているんですが、そもそも怪しい国のCAの審査ってどうするの?そもそも信じられるの?みたいな意見はやっぱり出てました。
調べたマシンはデモにしか使ってなかったマシンなので、ルート証明書の更新プログラムは一度もやっていなかったのかもしれません。(総務省ルートも無いし、、、、)
今回のアップデートで無くなってしまったルートCAはフランスとスイスの次のCA。
ちなみに、スイスとノルウェーの下の2つはEVのCAなったんだそう、、、、
追加されたルートCAを国別に数を調べてみました。
8割近くは入れる必要無いんじゃないっすかね?(^^;
総務省のアプリケーションCAは我々日本人も使うからいいんですが、他の怪しい国のルートなんか入れておくと、変なSSL対応のフィッシングサイトに誘導されたりしてロクなことにならないんじゃないですかね。
280認証局もあると、これまでの少なかった時以上にそれらの認証局が横並びで等しく信用できるか非常に怪しいですよね。
Microsoftが信頼するルート認証機関に入れたものは、例え個人が削除してしまったとしても、Windows Updateで再度インストールされ復活してしまうんだそうです。
もうそろそろ、個人の設定で自分に無関係そうなルート認証局や、審査が甘そうだったり、MD2やMD5で運用がちゃんとしてなさそうな認証局はチェックボタンなんかで使えなくしておけるような機能がWindowsにも必要な時期に来ているのでは、、、と思っています。
ちなみにルート更新後、使われているハッシュアルゴリズムの割合はこんな感じ、、、
SHA2の利用もちょっと始まっています。
次に署名アルゴリズムと鍵長で見てみるとこんな感じ、、、、
SHA1withRSA 2048bit が主流なんですが、RSA 4096bit が思いの他あったり、SHA256、SHA384 なんていうのも出てきています。唯一のSHA384withECDSA 384bit っていうのは、COMODO ECC Certification Authority なんですが、ECDSAにしてはかなり鍵長が長い方の384bitが使われているのと楕円曲線パラメータはANSIのぐらいしかよく知らなかったんですが"secp384r1"というSECG(Standards for Efficient Cryptography Group)がSEC 2: Recommended Elliptic Curve Domain Parametersで定めた"Recommended Parameters secp384r1"を使っています。そもそも、この証明書フツーはXPで扱えないっすよね。
ルート証明書の有効期間の年数の分布はこんな感じ、、、
20年物、次いで10年物が主流ですが、長いのでは25年、30年なんていうのもそれなりにあるようです。
<追記2009.04.04>
・署名アルゴリズム、有効期間について追記
ルート証明書の更新プログラム。この更新プログラムは、コンピュータにあるルート証明書の一覧を、Microsoft ルート証明書プログラムの一部としてマイクロソフトが承認した一覧に更新します。下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
rootsupd.exe パッケージ
リリース日 : 2009 年 2 月24 日
2009年2月24日にWindowsのルート証明書の更新パッケージが公開されたそうで、Windows Updateでも更新できるようになっているので、更新の前後でどんな感じか見てみました。
#そのために、現状の信頼するルート認証機関を全てごっそりファイルに落とすプログラムを作ったりもしました。
インストールはフツーにWindows Updateの「追加選択(ソフトウェア)」から選択してインストールすることができます。
テストしたマシンでは今まで一度もルートの更新はした事がないような気がします。余分なテスト用のプライベートCA、社内プライベートCAなど削って計算してみるに、
| 2009年2月のルート更新前 | 118ルート認証局 |
| 2009年2月のルート更新後 | 282ルート認証局 |
となりました。セットアップしてから途中Windows Updateとかでルートを更新したことが無いと思うにしても、この増え方は尋常ではありませんね(^^;特に怪しい国のCAが異常に増えちゃったような気がします。
ETSI ESI会議の中でもEUでEV証明書を発行するための標準(TS)を独Teletrustなんかが中心にやっているんですが、そもそも怪しい国のCAの審査ってどうするの?そもそも信じられるの?みたいな意見はやっぱり出てました。
調べたマシンはデモにしか使ってなかったマシンなので、ルート証明書の更新プログラムは一度もやっていなかったのかもしれません。(総務省ルートも無いし、、、、)
今回のアップデートで無くなってしまったルートCAはフランスとスイスの次のCA。
・CN=Certiposte Classe A Personne,O=Certiposte,C=FR
・CN=Certiposte Serveur,O=Certiposte,C=FR
・CN=Swisskey Root CA,L=Zuerich,OU=Public CA Services,OU=008510000000500000192,O=Swisskey AG,C=CH
ちなみに、スイスとノルウェーの下の2つはEVのCAなったんだそう、、、、
CN=SwissSign Platinum CA - G2, O=SwissSign AG, C=CH
CN=Buypass Class 3 CA 1, O=Buypass AS-983163327, C=NO
追加されたルートCAを国別に数を調べてみました。
8割近くは入れる必要無いんじゃないっすかね?(^^;
総務省のアプリケーションCAは我々日本人も使うからいいんですが、他の怪しい国のルートなんか入れておくと、変なSSL対応のフィッシングサイトに誘導されたりしてロクなことにならないんじゃないですかね。
280認証局もあると、これまでの少なかった時以上にそれらの認証局が横並びで等しく信用できるか非常に怪しいですよね。
Microsoftが信頼するルート認証機関に入れたものは、例え個人が削除してしまったとしても、Windows Updateで再度インストールされ復活してしまうんだそうです。
もうそろそろ、個人の設定で自分に無関係そうなルート認証局や、審査が甘そうだったり、MD2やMD5で運用がちゃんとしてなさそうな認証局はチェックボタンなんかで使えなくしておけるような機能がWindowsにも必要な時期に来ているのでは、、、と思っています。
ちなみにルート更新後、使われているハッシュアルゴリズムの割合はこんな感じ、、、
SHA2の利用もちょっと始まっています。
SHA256: NetLock Platina (Class Platinum) Fotanusitvany/HU
SHA256: NetLock Arany (Class Gold) Fotanusitvany/HU
SHA256: Staat der Nederlanden Root CA - G2/NL
SHA384: COMODO ECC Certification Authority/GB
次に署名アルゴリズムと鍵長で見てみるとこんな感じ、、、、
SHA1withRSA 2048bit が主流なんですが、RSA 4096bit が思いの他あったり、SHA256、SHA384 なんていうのも出てきています。唯一のSHA384withECDSA 384bit っていうのは、COMODO ECC Certification Authority なんですが、ECDSAにしてはかなり鍵長が長い方の384bitが使われているのと楕円曲線パラメータはANSIのぐらいしかよく知らなかったんですが"secp384r1"というSECG(Standards for Efficient Cryptography Group)がSEC 2: Recommended Elliptic Curve Domain Parametersで定めた"Recommended Parameters secp384r1"を使っています。そもそも、この証明書フツーはXPで扱えないっすよね。
ルート証明書の有効期間の年数の分布はこんな感じ、、、
20年物、次いで10年物が主流ですが、長いのでは25年、30年なんていうのもそれなりにあるようです。
<追記2009.04.04>
・署名アルゴリズム、有効期間について追記
