無料SSL証明書の「Let’s Encrypt」がDDoS攻撃を受けてパフォーマンスが一時低下

無料＆オープンな証明書認証局Let's EncryptがDDoS攻撃を受け、約4時間半にわたってサービスのパフォーマンスが低下しました。

Let's Encrypt's performance is currently degraded due to a DDoS attack | Hacker News
https://news.ycombinator.com/item?id=26374430

現地時間2021年3月7日7時38分、Let's Encryptの「acme-staging-v02.api.letsencrypt.org」などのドメイン14件がDDoS攻撃を受けていると判明しました。Let's Encryptは攻撃判明直後から対処策を講じ、同日12時14分に「DDoS攻撃の軽減に成功しました。現在、当社のサービスは正常に動作しています」と発表しました。

Let's Encrypt Status
https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/6044830be2838505358d3108

インターネット上に無数に存在するウェブサイトとの通信を暗号化することで、インターネット通信をより安全に行えるようにするという通信プロトコルが「HTTPS」です。HTTPSでの通信には、ウェブサイトを表示するウェブブラウザ側がウェブサーバーから「SSL証明書」を送信してもらい、サイトがどの認証局(CA)に認可されたものなのかを確認する必要があります。Let’s Encryptは、SSL証明書を無料で発行してくれるという認証局の1つです。

Let’s Encryptの正式サービスがスタートした2016年からわずか3年間でHTTPSに対応したウェブサイトの割合が40％から80％にまで急増したことから、Let’s Encryptが安全性の高いHTTPSの普及に大きな貢献を果たしたと考えられています。Let’s Encryptが発行したSSL証明書は2020年2月の段階で累計10億件を突破しており、HTTPSの屋台骨となっている状況です。

Let’s Encryptが発行したSSL証明書が10億件を突破したと発表、HTTPSの利用は過去3年で急速に増加 - GIGAZINE

このDDoS攻撃の攻撃者や攻撃理由については判明しておらず、Hacker Newsのフォーラムでは「Let'sEncryptは『あって当然』なものだと思っていたが、単なるいちサービスであると思い知らされた」という声や、「DDoS攻撃はかなり容易に実行できてしまうという点がこの種の問題を生み出している」という声が上がっています。