セキュリティ

無料で証明書を発行してHTTPSの導入をサポートする「Let’s Encrypt」がベータ版から正式版に

By Sean MacEntee

SSLを用いたHTTP通信の暗号化を誰でも手軽に行えるようにするために立ち上がったのがEFF、Mozilla、Cisco Systems、Akamai Technologies、IdenTrust、ミシガン大学の研究者などで、これらのメンバーがHTTPS普及のためにスタートした取り組みが「Let's Encrypt」です。これまで手間がかかり金銭的な負担も大きいと言われてきたサーバー証明書の発行を無料で行えるようになるのですが、同取り組みはついにベータ版から正式版にサービスを移行しています。

Leaving Beta, New Sponsors - Let's Encrypt - Free SSL/TLS Certificates
https://letsencrypt.org//2016/04/12/leaving-beta-new-sponsors.html

インターネット上に無数に存在するウェブサイトは、マークアップ言語のHTMLで構築されているのですが、このHTMLデータをウェブサーバーとウェブブラウザの間で送受信するための通信プロトコルが「HTTP」です。ウェブサイトのURLの頭についている「http://」というのは、この通信プロトコルの名前を示しています。

このHTTPによる通信をより安全に行えるようにするための仕組みが「HTTPS」です。HTTPSではどうやってHTTP通信を安全なものに変えているのかというと、通信データをSSLを用いて暗号化することで保護します。データが暗号化されることで、通信内容の傍受を防ぎ、さらには通信内容を改ざんされることも防げるようになるわけです。

このHTTPSを採用するには、ウェブサイトを表示するウェブブラウザがウェブサーバーから証明書を送ってもらい、サイトがどの認証局(CA)に認可されているのものなのかを確認する必要があります。この確認作業を経て、信頼できるサイトであると確認がとれれば通信の暗号化が解除されてウェブサイトを閲覧できるようになります。

個人サイトなどではまだまだHTTPSを採用していないものが多くあるのが現状ですが、2013年にはエドワード・スノーデン氏の告発により国家レベルで国民の通信内容を傍受していることが明らかになり、世界的に通信の暗号化に対する関心は高まっています。

また、現在ではスマートフォンやPCの他、ゲーム機や腕時計などさまざまなデバイスから気軽にインターネットに接続できるため、通信の暗号化を行っていないHTTPではなくHTTPSを用いようという動きは活発になっています。その中で2014年に生まれたのが、証明書を無料で発行して手軽にウェブサイトにHTTPSを導入できるように支援するサービスの「Let's Encrypt」です。HTTPSで使用されるサーバー証明書にはグレードが存在し、Let's Encryptで発行されるものは認証レベルの低いものではあるものの、手間と金銭的負担の大きかったサーバー証明書の発行を無料で行えるようにしており、かつ、ウェブサイトにこれらをインストールしたり更新したりする作業も自動化することに成功しており、HTTPSの導入を劇的に楽なものにしてくれています。

Let's Encrypt - Free SSL/TLS Certificates


そんなLet's Encryptが、ついにベータ版から正式版にサービスを移行しました。同サービスを支援する企業の数は徐々に増えており、GemaltoやHP Enterprise、Fastly、Duda、ReliableSite.netなどが新しいスポンサーとなっています。ベータ版が稼働したのは2015年9月のことで、それ以降、なんとLet's Encryptでは380万件ものウェブサイトに対して170万件ものサーバー証明書を発行した模様。約7カ月に及んだベータ版の運用から、システム運用における確かな経験と信頼を得ることができたということで、ベータ版という肩書きを取り去ることとなったそうです。

Let's Encryptのサービススタートから2016年4月までのサーバー証明書発行数の推移は以下の通り。2015年12月まではかなりゆるやかに発行数が上昇しているのですが、12月を過ぎて一気に発行数が増えています。


また、Let's Encryptと他のCAが発行したサーバー証明書の内、ウェブサイトで実際に使用されている数を比較したグラフが以下のもの。これはThe Internet of Secure ThingsCensysを使用して調査した情報で、Let's Encryptが登場して半年に満たない2016年2月に集計された数値。これを見るとLet's Encryptの発行する証明書の利用数の伸びが圧倒的であることがよくわかり、これまでの証明所発行作業やHTTPS運用がいかに煩わしいものであったかが伝わってきます。


なお、WordPress.comはLet's Encryptで発行されたサーバー証明書を用い、同サービスでホスティングしている全ての独自ドメインにHTTPS接続を無償で提供することを発表しています。

・関連記事
通信傍受や暗号化の未来は「暗闇の中」と多くの識者が意見を一致させる - GIGAZINE

SSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明 - GIGAZINE

「HTTPS(SPDY)」と「HTTP」ではどちらが高速に接続できるか体感できる「HTTP vs HTTPS Test」 - GIGAZINE

SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明 - GIGAZINE

in セキュリティ, Posted by logu_ii