無料の証明書発行を「Let’s Encryptだけに頼るのは問題」との指摘、どんな代替サービスがあるのか？

SSL証明書を無料で発行してくれる認証機関「Let’s Encrypt」は、2014年の設立から安全なインターネットの利用に大きく貢献しています。しかし、ハッカーであり研究者でもあるScott Helme氏は、無料の証明書発行をLet’s Encryptのみに頼っている現状を問題として取り上げ、Let’s Encryptの代替となるサービスを紹介しています。

Introducing another free CA as an alternative to Let's Encrypt
https://scotthelme.co.uk/introducing-another-free-ca-as-an-alternative-to-lets-encrypt/

Free SSL Certificates and SSL Tools - ZeroSSL
https://zerossl.com/

Let’s Encryptは無料でウェブサイトに必要なSSL証明書を発行してくれる認証局で、多くのウェブサイトがLet’s Encryptの証明書を利用しています。2020年2月には、Let’s Encryptによる証明書の発行件数が10億件を数えており、暗号化による安全なインターネット通信に大きく貢献しています。

Let’s Encryptが発行したSSL証明書が10億件を突破したと発表、HTTPSの利用は過去3年で急速に増加 - GIGAZINE

しかし、Helme氏は無料で証明書を発行してくれる認証局が長年Let’s Encryptのみであった点を「単一障害点」であると指摘し、無料の証明書発行サービス「ZeroSSL」を代替サービスとして紹介しています。ZeroSSLの証明書はLet’s Encryptと同じく90日間有効で、ACMEプロトコルを用いて取得することが可能。自動で証明書を更新できる「certbot-zerossl」など、利用できるツールも充実しています。

ZeroSSLから証明書を取得するには「acme.sh」というスクリプトが便利であるとのこと。以下はウェブサーバーにNGINXを利用している場合のコマンド例で、実行すればacme.shの導入とZeroSSLからの証明書取得を行うことができます。

git clone https://github.com/acmesh-official/acme.sh.git
cd acme.sh/
./acme.sh --register-account -m メールアドレス --server zerossl
export ACCOUNT_EMAIL=メールアドレス
./acme.sh --issue --nginx -d ドメイン名 --server zerossl

生成した証明書をSSL証明書内容確認で確認すると、「証明書発行局名」が「ZeroSSL RSA Domain Secure Site CA, ZeroSSL」となっていました。

Helme氏は他にもZeroSSLと同様にACMEを利用して無料で証明書を取得できる「buypass」というサービスも紹介しており、「Let’s Encryptはすばらしいサービスですが、複数の選択肢があるのはよいことです」とコメント。さらに簡単に証明書を取得できるACMEプロトコルに注目し、ACMEが無料の認証局のみならず有料の認証局にも普及していくのを楽しみにしていると語っています。

Buypass AS - Simplifies online identification and payment
https://www.buypass.com/