オンラインショッピングやネットバンキングが一般的になりつつある今、同時に「なりすまし」や「盗聴」「改ざん」などが世界的に問題になりつつあります。そこで2014年11月にElectronic Frontier Foundation(EFF)の他、MozillaやCisco Systems、ミシガン大学などが協同で「Let's Encrypt」と呼ばれる無料SSLプロジェクトを立ち上げました。ここではSSL/TLSとはそもそもどんな役割を持っているのかというところから、Let's Encryptの登場に見る無料SSL/TLS証明書の台頭とその注意点について解説します。
SSL/TLSの役割は「暗号化」と「認証」
SSL/TLSが担っている役割
SSLはSecure Sockets Layer、TLSはTransport Layer Securityの略称で、インターネット上の通信を暗号化する技術を指します。この技術はこの「暗号化」だけでなく、サイトの運営者及び運営組織の身元確認をする証明書の役割も果たしています(「認証」)。SSL/TLSを導入しているサイトかどうかはブラウザのアドレスバーを確認するだけで知ることができます。
SSL/TLSを導入していないサイトではアドレスの冒頭が「http://」となっていますが、導入しているサイトのアドレスの冒頭は「https://」。「http」の後ろに「s」がついています。アドレスバーの鍵マークをクリックすると、SSL/TLS証明書の詳細を確認することもできます。当ブログでもSSL/TLSを導入しているので一度確認してみてください。
SSL/TLS証明書がないとネットのリスクが高まる
https、SSL/TLS証明書を導入していないサイトでは「なりすまし」「盗聴」「改ざん」の危険にさらされています。大手のショッピングサイトや銀行ウェブサイトにそっくりのサイトを作り、個人情報や決済情報を手に入れようとする「フィッシング詐欺」は「なりすまし」の典型です。「盗聴」とはショッピングサイトなどでやり取りされる個人情報や決済情報を第三者が盗み見ること、「改ざん」は注文画面等に入力された情報を第三者が途中で書き換えてしまうことです。
ウェブサイトの閲覧者はSSL/TLS証明書を確認する事によってサイトの運営者及び運営組織の身元確認が可能(※1)なので「なりすまし」は防止され、個人情報や決済情報が暗号化されるので「盗聴」「改ざん」も防ぐことができます。このようなことが起きればサイトを利用する側はもちろんサイトを運営する側にとっても、大きな痛手となります。「なりすまし」「盗聴」「改ざん」はそのまま「個人情報漏えい」という大問題に発展するからです。
したがってhttps、SSL/TLS証明書はインターネットを利用する人とっての心強い味方なのです。
※1 OV(Organization Validation)証明書、EV(Extended Validation)証明書の場合
なぜ無料SSL/TLS証明書が台頭し始めたのか
従来のSSL/TLS証明書の問題=高コスト
インターネットを安全に利用するためにも重要なSSL/TLS証明書ですが、従来のSSL/TLS証明書には「高コスト」という問題がありました。これはSSL/TLS証明書導入にかかる金銭的なコストだけではありません。カリフォルニア州サンフランシスコに本部を置く電子フロンティア財団(EFF)の調査によれば、ウェブ開発者が最初に従来型のSSL/TLS証明書を導入するには一般的に1〜3時間が必要だとされています。
つまりSSL/TLS証明書導入には少なくともウェブ開発者が必要で(人的コスト)、しかも彼らを持ってしてもある程度の時間的コストが必要なのです。これでは「なりすまし」「盗聴」「改ざん」を防ぐためにSSL/TLS証明書を導入したくても、簡単にはできません。これを解決するために立ち上げられたのが「Let's Encrypt」プロジェクトです。
GoogleがサイトへのSSL導入を推奨
Let's Encryptプロジェクトが立ち上げられたのが2014年の11月。その3ヶ月前にはGoogleがSSL/TLSの導入の有無を、検索ランキングアルゴリズムの指標として検討していると発表しています。それと同時にGoogleは企業として「全てのウェブサイトのオーナーに対してHTTPからHTTPSへの切り替えを推奨したい」と自社のスタンスを明らかにしたのです。
これはこの後相次いで登場する無料あるいは低価格SSL/TLS証明書の台頭のきっかけとなりました。
Let's Encryptプロジェクトとは?
電子フロンティア財団(EFF)が促進する電子証明書無料配布プロジェクト
無料SSL/TLS証明書の先駆けとなったLet's Encryptプロジェクトは1990年に設立された電子フロンティア財団が発表した、SSL/TLSの採用促進計画です。同財団はこのプロジェクトの推進によって、インターネット上でやり取りされる“通信のSSL/TLS化の推進”による、より安全なネット社会の実現を目指しています。
運営母体は同財団以外にMozillaやCisco Systems、ミシガン大学、Akamai Technologiesなどが協同で設立した研究グループ「Internet Security Research Group (ISRG)」。ISRGは「無料・自動・安全・透明性・オープン・協同」を原則として、技術開発を行っています。より経済的に、スムーズに、かつ効果的に誰もが手軽にSSL/TLS証明書を導入できるようにしよう、というわけです。
本当に簡単なLet's Encryptによる暗号化
2015年の12月、ISRGはLet's EncryptをPublic Betaへと移行。従来は利用するには招待が必要でしたが、これによって招待なしでも利用が可能になりました。暗号化も非常に簡単で、「Git」からLet's Encryptをダウンロードし、いくつかの質問に回答していくだけで完了します。
ただしLet's Encryptによって取得できる証明書の期限は発行から90日間。期限が近づいたら再度延長のための手続きが必要です。
この90日間という期限の意味について、ISRGは2つのメリットを挙げています。1つはもし秘密鍵や誤発行された証明書があった場合にも、短い期間で無効化されるという点。2つ目はLet's Encryptをその都度更新するのが面倒になったユーザが、SSL証明書の更新を自動化するのを促進できるという点を挙げています。
無料SSL/TLS証明書ができないこと
SSL/TLSサーバ証明書には「ドメイン認証」「企業実在認証」「Extended Validation(EV)」の3種類が存在します。ドメイン認証は最も手軽な反面、ドメインの使用権のみを認証する証明書しか発行できません。組織の実在認証をするためには「企業実在認証」、「EV」を導入する必要があります。また企業実在認証もドメインの使用権と組織の法的実在の認証は可能ですが、それ以上の「組織の物理的実在」「組織の運営」などのより高度な認証を行うにはEVの導入が必要です。
Let's EncryptはSSL/TLSの普及を目的としたプロジェクトであるため、この3つのうち最も低いレベルの認証であるドメイン認証しか行っていません。無料SSL/TLS証明書及び低価格SSL/TLS証明書の多くはLet's Encrypt同様ドメイン認証しか行っていないため、それ以上の認証を求める場合は企業実在認証及びEVの導入を検討しましょう。
まとめ
SSL/TLSはインターネットが生活に浸透していくにつれてより重要になる技術です。Let's Encryptを始めとする無料及び低価格SSL/TLS証明書の台頭は安全なインターネット利用を促進し、快適なインターネット社会の実現に大いに役立つことでしょう。しかし「どのレベルの認証が必要なのか」という利用用途や、比較的高価なSSL/TLS証明書に付与されるサポート体制のメリットといった、パブリックCAベンダーならではの良さもあります。自分にとって、あるいは自社にとって本当に必要なSSL/TLS証明書とはどんなものなのか。その点を考慮の上、SSL/TLS証明書導入を検討していただきたいと思います。