[これは Mozilla wiki の記事 Addons/Extension Signing (2015/09/01 時点) の翻訳です]
[9/14: リリース版への導入スケジュールを更新]

Firefox のリリース版とベータ版にインストールされるすべての拡張機能に署名が必要になります。署名は、addons.mozilla.org (AMO) によって行われます。配布されるサイトにかかわらず、すべての拡張機能で署名が必須となります。

目次

• 1 ドキュメント
• 2 スケジュール
• 3 よくある質問
• 4 ディスカッション

ドキュメント

• Introducing Extension Signing (原文)、より安全なアドオン体験を提供するため拡張機能に署名を導入します(日本語訳) 、Add-ons Blog
• The Case for Extension Signing、Add-ons Blog
• Main tracking bug

スケジュール

具体的な期日については、Firefox Release Calendarを参照してください。

• Firefox 40-42: 署名に関する警告が Firefox に表示されますが、インストールは可能です。
• Firefox 43: 署名チェックを無効化できる設定項目 (about:config の xpinstall.signatures.required) が Firefox で提供されます。
• Firefox 44: 未署名の拡張機能は、Firefox のリリース版とベータ版にインストールできません。また署名チェックを無効化する機能が Firefox から削除されます。

ESR が署名に対応するのは、Firefox ESR 45 以降です。現在の計画では、ESR は Firefox 41 と同様に動作し、署名チェックを無効化できる設定項目が提供される予定です。ただし、この仕様は今後、変更される可能性があります。

現在 AMO で配布されている Firefox の審査済み拡張機能は、すべて署名が完了しています。Firefox for Android は署名に関してデスクトップと同じリリーススケジュールが使用されることになったため、Firefox for Android の拡張機能も、まもなく自動的に署名されます。

非登録の (AMO で配布されない) アドオンは、Mozilla に提出して署名を取得することができますが、不具合の検出・修正中であるため正式発表はされていません。

よくある質問

• 署名が必要なのは、どの種類のアドオンですか？
  • 拡張機能 (install.rdf の type 2) のみです。テーマ、辞書、言語パック、プラグインには署名は不要です。

• Thunderbird、Seamonkey、Palemoon などの他のアプリケーションの拡張機能にも署名が必要ですか？
  • それらのアプリケーションで、署名を必須とするか、今後も設定項目の 1 つとして位置付けるか、既定で無効にするかは、各プロジェクトのリーダーの判断にゆだねられます。現在のところ、他のアプリケーションが署名に対応する予定はありません。

• 署名済みの拡張機能は、他のアプリケーションや従来のバージョンの Firefox で動作しますか。
  • はい。この署名システムは、これまで Firefox や他のアプリケーションで使用されていた既存のアドオン署名機能を基盤としています。

• 署名チェックを無効化する設定項目や変更機能は提供されますか？
  • Firefox のリリース版とベータ版では、署名チェックを無効化する設定や機能は提供されません。ただし、次の質問への回答内で示されている他のバージョンでは、署名チェックを無効化できます。

• 未署名の拡張機能を Firefox にインストールする方法はありますか？
  • Developer Edition および Nightlyバージョンの Firefox では、署名チェックを無効化する設定項目が提供されます。また、アドオン開発者向けに公開される特別なノーブランド版のリリース版とベータ版でも、署名チェックを無効化する機能が提供されるので、アドオン開発時にビルドごとに署名する必要はありません。署名チェックを無効化するには、次の手順で xpinstall.signatures.requiredを「false」に設定します。
    • Firefox のアドレスバーに、about:config と入力します。
    • 検索ボックスに、xpinstall.signatures.required と入力します。
    • 検出された環境設定をダブルクリックするか、右クリックして「切り替え」を選択して「false」に設定します。

• ノーブランド版の Firefox は、どのように動作しますか？
  • ノーブランド版の動作は、通常版の Firefox と同じです。ただしノーブランド版は、通常版では無効化できない署名チェックを無効化でき、また Firefox という名前とロゴが入っていない (代わりに汎用の名前とロゴを使用) という 2 つの違いがあります。ノーブランド版は、英語 (en-US) ロケールのみで提供されます。

• 組織内でのみ使用される非公開のアドオンにも署名が必要ですか？
  • このようなアドオンの取り扱いについては未定です。後日詳細をお知らせしますので、しばらくお待ちください。当面の間、ESR は署名に対応しません。ESR が証明に対応するのは、早くとも 2016 年にリリース予定のバージョン 45 以降となります。

• 開発したアドオンを AMO で配布している場合、署名を取得するにはどうすればよいですか？
  • 特に手続きは必要はありません。現在 AMO で配布されているアドオンの審査済みのバージョンは、すべて自動的に署名が完了しています。また新しいバージョンは、審査を通過した後、自動的に署名されます。

• AMO で配布していないアドオンの署名を取得するにはどうすればよいですか？
  • AMO アカウントを作成して、アドオンを提出する必要があります。アドオンの提出時に、このアドオンを AMO 非登録にするオプションを選択できるので、AMO サイトで公開しないアドオンファイルも提出できます。詳細については、Distribution Policy を参照してください。

• 非登録アドオンの署名プロセスについて教えてください。
  • 非登録アドオンの場合、署名の申請用にファイルを提出すると、そのファイルが自動審査プロセスに掛けられます。審査を通過したアドオンは自動的に署名され、ダウンロードリンクが開発者に送付されます。このプロセスは、通常、数秒で完了します。ファイルが審査を通過しなかった場合、開発者は手動審査を要求することができ、その場合も、2 日未満で審査が完了します。これは、現在の AMO アドオンに対して実施されている審査とは異なるプロセスであり、AMO アドオンよりも迅速に処理が行われます。

• AMO で配布されるベータ版についても、審査と署名が必要ですか？
  • はい。ベータ版は、AMO で配布されないアドオンと同様、自動審査プロセスに掛けられて、審査を通過すれば自動的に署名されます。

• 既存のアドオンのコードを変更したり、ロケールを追加したりしたカスタム版のアドオンにも署名が必要ですか？
  • リリース版やベータ版で使用する場合は必要です。また、そのようなアドオンを提出して署名を申請するには、アドオン ID を変更する必要があります。

• 今回の措置は、Mozilla にとって都合の悪いアドオンを検閲し、著作権や政府の意向などを強制することが目的ですか？
  • いいえ。この目的は、ユーザーを不正なアドオンから保護することにあります。Mozilla では、どのような場合にアドオンのブロックリストへの登録が妥当かについて明確なガイドラインを定めており、それ以外の理由によるブロックの要求を幾度も拒否しています。

• アドオンの新規バージョンを毎回手動でアップロードしなくて済むような、アップロードと署名用の API が提供される予定はありますか。
  • このプロジェクトの第1段階である現行の計画には含まれていません。しかし、この機能に対する要望が数多く寄せられているため、現在、実施方法を検討中です。

• 今回の措置により、ユーザーはあらゆる形態のアドオンマルウェアから保護されるのですか。
  • いいえ。アドオンマルウェアの問題を完全に封じ込める解決策は存在しません。マルウェア対策には、オペレーティングシステム、アプリケーション、ユーザー、さらには業界全体といった、さまざまなレベルでの防御が必要です。拡張機能への署名は、不正なアドオンから Firefox を保護する大きな一歩ですが、ユーザーに最良のエクスペリエンスを確保するためには、他にも数々の対策を講じる必要があります。

ディスカッション

このトピックに関する議論は、mozilla.addons.user-experience ニュースグループを中心に行われています。