無料でSSL証明書が発行できる「Let’s Encrypt」がインターネット上の「暗号化により安全に保護されたウェブサイト」の割合を約4年で2倍にした方法

by Philipp Katzenberger

インターネット上にはさまざまな情報があふれていますが、同時に自分がネット上で「何を見たか」や「何を購入したか」などの情報も、ネットワーク経由で漏れる可能性があります。そういったことを防ぐためには通信を暗号化することで、盗み見られたとしても内容が読み取れないようにすることが重要です。そんな暗号化をインターネット上のウェブサイトに広めるために、普通は有料で提供されるようなサービスを無料で提供するという試みが行われています。

How Let's Encrypt doubled the internet's percentage of secure websites in four years
https://techxplore.com/news/2019-11-encrypt-internet-percentage-websites-years.html

インターネット上に無数に存在するウェブサイトとの通信を暗号化することで、インターネット通信をより安全に行えるようにするという通信プロトコルが「HTTPS」です。HTTPSでの通信には、ウェブサイトを表示するウェブブラウザ側がウェブサーバーからSSLサーバー証明書を送信してもらい、サイトがどの認証局(CA)に認可されたものなのかを確認する必要があります。

そんなSSLサーバー証明書を無料で発行することで、世界中のウェブサイトを安全なものにしようというサービスが「Let’s Encrypt」です。Let’s Encryptはミシガン大学でコンピューターサイエンスおよびエンジニアリングの教授を務めるJ・アレックス・ハルダーマン氏が始動したプロジェクトで、なぜHTTPSの導入が必要なのかは以下の記事を読めばわかります。

無料で証明書を発行してHTTPSの導入をサポートする「Let’s Encrypt」がベータ版から正式版に - GIGAZINE

By Sean MacEntee

「Let’s Encrypt」は、正式サービスがスタートした2016年からの3年半で「HTTPSへの対応で暗号化で保護されたウェブサイト」の割合を、40％から80％にまで急増させることに成功したことが明らかになっています。

Let's Encryptは無料で証明書を発行することで、HTTPSの実装にかかるコストおよび複雑なプロセスを、すべてのウェブサイトに手の届く簡単なステップに変えることを目的としたサービスです。Let's EncryptはCAとしては記事作成時点で世界最大のものとなっており、他のすべてのCAにより発行されたSSLサーバー証明書よりも多くの証明書を既に発行しています。

by Sander Weeteling

Let's Encryptの創始者であるハルダーマン氏はプロジェクト開始の経緯を、「HTTPSが1990年代に発明された当時、(HTTPSは)主にクレジットカードのトランザクションやオンラインバンキングに利用されるものと考えられていました。しかし、1990年代からインターネットははるかに危険な場所へと進化していくこととなりました。エドワード・スノーデンは、リークにより政府が世界規模でトラフィックを監視していることを示しました。また、政府などがインターネットトラフィックを変更し、ユーザーのコンピューターを攻撃したり、コンピューター経由で第三者を攻撃したりする事例も確認されています。そのため、今日では金融取引だけでなくすべてのオンライン通信が暗号化される必要があります。通信の暗号化を実現するにはすべてのウェブサイト運営者がCAにアクセスできるようになることが重要であり、Let's Encryptはまさにそのための活動を行っています。従来のプロセスではSSLサーバー証明書を取得するのが困難な小規模なウェブサイトであっても、Let's Encryptを用いればHTTPSを導入することが容易になります」と説明しています。

さらに、従来の方法ではHTTPSをあらゆるウェブサイトが採用することが難しい理由を、「ウェブサイトの運営者がCAを選び、SSLサーバー証明書の発行に数万円を支払い、証明書が発行されたら複雑な手順に沿ってそれをインストールする必要があった」とハルダーマン氏は説明しています。通常のCAの場合、こういったプロセスを毎年1、2回繰り返す必要があり、決められた期間内に実行しない場合、ウェブサイトがシャットダウンしてしまう可能性もあります。そのため、小規模なウェブサイトはHTTPSに対応しないままとなっているわけです。しかし、Let's Encryptの場合は無料かつワンクリックでSSLサーバー証明書の発行が可能で、ウェブサイトへの証明書のインストールなども自動化されているため、導入が非常に簡単です。

なお、ハルダーマン氏はLet's Encryptが無料でSSLサーバー証明書を発行できる理由について、「運営資金の大部分を大規模なハイテク企業からの寄付でまかなっている」としながらも、通常のCAなどの場合、SSLサーバー証明書の発行を有料としているため、「諸々のプロセスを自動化することが困難になっている」と指摘し、ビジネスとしてではなく社会貢献の一環としてサービスを提供していることが成功要因のひとつになっていると記しています。

ハルダーマン氏は「SSLサーバー証明書の発行およびその支払いに関する摩擦を完全に取り除くことで、証明書の発行プロセスがはるかに簡単になります。プロセスを簡略化したのち、証明書発行自動化プロトコルであるACME(Automatic Certificate Management Environment)を構築することで、プロセスの自動化も可能となりました。ACMEは各証明書の暗号化問題のコストを大きく引き下げることに貢献しています」と述べています。

by Marvin Meyer

なお、ハルダーマン氏はLet's Encryptを正式にスタートさせてから、約4年が経過した2019年11月になってようやくLet's Encryptに関する最初の論文を公開しました。その理由については、「無料のSSLサーバー証明書を提供する、という新しい種類のCAを作成するというのはおかしなアイデアでした。そのため、Let's Encryptを始める前に論文を書いていたなら、それが公開されることはなかったでしょう。我々はLet's Encryptにより経済がうまく回ることを証明しなければいけませんでした。そして4年後、Let's Encryptは大成功を収めたため、我々がサービスをどのようにして構築し、ウェブに与える影響をどのように測定したのかを振り返る論文をようやく公開できるようになったのです」と語っています。

また、ハルダーマン氏は「Let's Encryptが機能した理由」のひとつとして、「1つの大規模なハイテク企業による製品ではなく、公共の利益のために活動する中立的な組織によるサービスであったこと」を挙げています。中立的な立場の人々が立ち上げたサービスであったため、Let's Encryptは誰もが信頼できるものとなり、どの会社も利害関係を意識することなく活用できたというわけ。

加えて、ハルダーマン氏はLet's Encryptのような「中立的な組織が暗号化プロセスを簡略化するサービスを提供する」場合の成功する可能性のあるものとして、「インターネットサービスプロバイダ(ISP)」を挙げています。ISPではインターネットを介して情報を転送するルーティングプロトコルが利用されていますが、そのプロセス自体は暗号化されておらず、外部からの攻撃を受けやすくなっているとのこと。そこで、Let's Encryptのようなモデルを用いて中立的な組織が暗号化プロセスを提供することができれば、公共の利益となるサービスが提供できる可能性があるとのことです。