概要
法務省のサイトによると、従来1年に1回であった、商業登記に基づく電子認証制度のルート証明書の更新頻度が、2019年以降は3年に1回に削減されるとのことです。
これにより、サードパーティ製のソフトウェアを使わずAdobe AcrobatのみでPDFファイルに対して電子署名をする場合に、OCSPレスポンダの署名が毎年切り替わる影響で、毎年証明書を取得し直さざるを得なかった手間が緩和されると思われます。
なお、e-Gov電子申請などでは、本記事に記載の方式(PDFファイル自体への署名埋め込み)とは異なる方式で電子署名が行われていますので、本記事の内容は当てはまりません。
ルート証明書の更新
商業登記に基づく電子認証制度のルートCAは、東京法務局登記官(電子証明書上のCommon NameはRegistrar of Tokyo Legal Affairs Bureau)となり、その証明書は法務省のサイトより入手可能です。
ルート証明書は定期的に切り替わり、2019年末現在まで、以下のように変遷しています。
| 有効期間開始日 | 有効期間終了日 |
|---|---|
| 2000-10-10 | 2004-01-09 |
| 2001-10-10 | 2005-01-09 |
| 2002-10-10 | 2006-01-09 |
| 2003-10-10 | 2007-01-09 |
| 2004-10-10 | 2008-01-09 |
| 2005-10-10 | 2009-01-09 |
| 2006-10-10 | 2010-01-09 |
| 2007-10-10 | 2011-01-09 |
| 2008-10-10 | 2012-01-09 |
| 2009-10-10 | 2013-01-09 |
| 2010-10-10 | 2014-01-09 |
| 2011-10-10 | 2015-01-09 |
| 2012-10-10 | 2016-01-09 |
| 2013-10-10 | 2017-01-09 |
| 2014-10-10 | 2018-01-09 |
| 2014-11-29 | 2018-02-28 |
| 2015-11-29 | 2019-02-28 |
| 2016-11-29 | 2020-02-28 |
| 2017-11-29 | 2021-02-28 |
| 2018-11-29 | 2022-02-28 |
| 2019-11-29 | 2025-11-28 |
OCSPレスポンダの署名とその切り替わりの影響
ルートCAが発行した証明書が失効していないかを問い合わせるための仕組みとして、商業登記に基づく電子認証制度では、失効した証明書の一覧を単純にダウンロードさせるCRL(証明書失効リスト)ではなく、OCSP(Online Certificate Status Protocol)を用いています。OCSPでは、OCSPレスポンダと呼ばれるサーバに問い合わせを行うことで、個別の証明書の有効性を検証できます。
商業登記に基づく電子認証制度のルートCAでは、ルート証明書の切り替わりに際してもOCSPレスポンダのエンドポイント(アドレス)が切り替わることはないようで、OCSPレスポンダの応答は、その時点で有効な最新のルート証明書により署名されています(ある時点で有効なルート証明書は複数あることにご注意ください)。すなわち、例えば2019年以前の数年間は、毎年日本時間11月29日午前0時にOCSPレスポンダの署名が切り替わっていました。
この結果、毎年11月29日より前に発行された電子証明書を用いて文書を署名しようとしたときに、OCSPレスポンダの応答の署名者が、対象文書を署名しようとしている証明書を発行したCAと異なるため、Adobe Acrobatのデフォルトセキュリティ機能では、失効確認に失敗してしまい署名ができない(正確には、署名時点の失効ステータスを文書に含めることができない)という問題がありました。
OCSPレスポンダの応答の署名が切り替わること自体は、公開鍵基盤の仕様としては問題なく、切り替わったルート証明書間の信頼を示すリンク証明書を用いて有効性検証を行えば良いのですが、現時点のAdobe Acrobatのデフォルトセキュリティ機能では、リンク証明書を用いた有効性検証には対応していないようです。この問題に関しては、こちらのページにも参考情報があります。
なお、法務省のサイトに案内のあるサードパーティ製の有償ソフトウェアでは、OCSPレスポンダの署名が切り替わるタイミングを超えても、証明書の有効期間内であれば、署名可能になっています。
まとめ
冒頭に記載の通り、2019年以降はルート証明書の更新頻度が3年に1回に削減されるとのことですので、Adobe Acrobatのデフォルトセキュリティ機能のみで電子署名を行う場合に、毎年11月29日に電子証明書の再発行を余儀なくされていた問題は緩和されると思われます。
なお、商業登記に基づく電子認証制度による電子署名をAdobe Acrobat Readerのみで検証する方法は、このページに記載があります。また、実際にAdobe Acrobatのデフォルトセキュリティ機能で署名された文書の例は、このページの法的文書(公告)で確認できます。