HTTPSの普及と証明書の無料発行に寄与--「Let's Encrypt」の軌跡

- - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35235355%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35235355%2F&hashtags=ZDNET) - - 印刷する - - メールで送る - テキスト - HTML - 電子書籍 - PDF - - ダウンロード - テキスト - 電子書籍 - PDF - - クリップした記事をMyページから読むことができます　1996年、筆者は自分の初めてのウェブサイト「Vaughan-Nichols & Associates」を登録した。サイトを立ち上げてすぐにやったのが、Secure Sockets Layer（SSL）証明書による接続の保護だ。当時登場したばかりだったSSLは通信を暗号化し、デジタル証明書でウェブサイトの正当性を認証するセキュリティネットワークプロトコルだった。　SSLは当時も今も、安全なウェブサイトがユーザーに提供すべき最低限のセキュリティだ。しかし、設定が非常に大変で、さらに高価でもあった。こうした問題への対処のために生まれたのが、「 [Let's Encrypt](https://letsencrypt.org/) 」だ。　HTTPSがユーザーのウェブ接続の保護に必須であり、Eコマースサイトに不可欠であることは誰もが認識していたが、以前はほとんど使われていなかった。インターネットセキュリティの専門家であるScott Helme氏によると、人気のあった上位100万ウェブサイトのうち、HTTPSを使用していたのはわずか6.71％だったという。目も当てられない状況だった。　さらに悪いことに、安全でないウェブ接続がセキュリティ侵害につながることを示す証拠が積み上がっていた。これは当然だろう。残念ながら、実際に被害に遭うまで、誰もセキュリティにお金を払いたいと思わない。多くのユーザーにとって、その日は2010年にやってきた。Firesheepが誰のWi-Fi接続でも簡単に傍受できることを実証したときだ。これにより、信頼できるセキュリティを実現するには、全てのウェブサイトを暗号化するしかないことが明白になった。　問題は、普及が進まなかったHTTPSが広く採用されるように、プロセスを簡単にして、インストールを簡素化し、コストを下げるにはどうすればよいか、ということだった。SSLは、現在ではTransport Layer Security（TLS）として知られているが、当時も今も、証明書には大きく分けて3つの種類がある。　1つはDomain Validation（DV）証明書で、これは基本的な単一ドメイン証明書だ。Organization Validation（OV）証明書は、申請者がドメインを所有していることと、正当な企業や組織を代表していることの両方を証明する。そしてExtended Validation（EV）証明書は、ウェブサイトの正当性に関する非常に厳格な検証を提供できるように設計されており、最大限の信頼を構築する必要がある組織（銀行、金融機関、Eコマースプラットフォームなど）を対象としている。2015年の時点では、EV証明書に年間1500ドルという膨大なコストがかかる場合もあり、DV証明書でさえ年間50ドルものコストが発生していた。　コストと技術の両方の課題に対処するため、Mozilla、電子フロンティア財団（EFF）、ミシガン大学の技術者たちの間で、2012年にLet's Encryptのアイデアが生まれた。技術者らは、HTTPSへの障壁、コスト、複雑さ、手動のプロセスが、採用拡大を妨げていると認識していた。彼らが求めたのは、全てのサイトをデフォルトで、かつ無料で暗号化できるウェブだ。　2013年5月、技術者らの協力によって、非営利組織Internet Security Research Group（ISRG）が正式に設立され、Let's Encryptやその他の公益デジタルインフラストラクチャープロジェクトを進めることになった。ISRGの非営利という立場は、透明性、公共サービス、金銭的な動機の排除を優先する上で極めて重要だった。　ISRGのエグゼクティブディレクターであるJosh Aas氏は当時、次のような目標を語っている。「暗号化をウェブのデフォルトにする。近年のウェブは複雑な場所であり、消費者が自分のデータを管理するのは難しい。皆のプライベートなデータと情報をウェブでの転送時に保護する唯一確実な戦略は、全てを暗号化することだ。Let's Encryptがこれを簡潔にする」　ISRGの技術チームは、MozillaとEFFのほか、CiscosSystemsやIdenTrustといったパートナーの専門知識を活用して、コアソフトウェアとインフラストラクチャーの開発に着手した。その目標は、証明書の発行と検証、更新の全てのステップを自動化することだった。このアプローチは、当時主流だった手動でミスが起きやすいプロセスを抜本的に変えるものだった。　かぎとなったイノベーションは、Automated Certificate Management Environment（ACME）プロトコルだ。ACMEは、サーバーによる証明書の要求、インストール、更新の自動化を可能にし、JSON形式のメッセージをHTTPS経由で使用することで、証明書の発行と更新、失効を簡素化する。後にInternet Engineering Task Force（IETF）によって標準化されたACMEは、Let's Encryptの自動化の基盤となった。　Let's Encryptは2014年11月に発表された。そのアプローチはすぐに主要なテクノロジー組織の支持を得た。しかし、Let's Encryptの最初の証明書がhelloworld.letsencrypt.orgドメインに発行されたのは、2015年9月のことだった。同年10月には、ISRGが既存のSSL認証局（CA）であるIdenTrustと契約し、同機関がLet's Encryptの証明書の署名を信頼するようになった。これを受けて、主要ブラウザーがLet's Encryptに対応した。　それ以来、無料で90日間有効なドメイン認証証明書を自動発行するLet's Encryptのモデルは、ウェブホスト、コンテンツ配信ネットワーク（CDN）、サイト所有者から支持されている。コストと複雑さの両方を排除することで、このモデルはウェブ暗号化を民主化した。　では、Let's Encryptはなぜ無料なのだろうか。Aas氏はThe Linux Foundationの「2025 Open Source Summit North America」の基調講演で次のように説明した。「これは手ごろな価格にすれば済むという問題ではない。どんなに少額であれ、何かしら定期的な支払いが必要という摩擦を取り除くことが重要だ。証明書を取得しない理由はない。クレジットカードを探す必要も、支払いの許可を得る必要もない。クレジットカードの有効期限が切れたらといって、サービスが打ち切られることはない。この点が非常に重要だ。セキュリティは皆に必要なものなので、あらゆる摩擦を取り除きたい。サービスを世界中のあらゆる場所で提供可能にするという目的もある。われわれが金融取引を実行できない場所でも、サービスを提供できるようにするということだ」　同氏はこう続けた。「われわれはオープンでもある。オープンソースソフトウェアのオープンスタンダードに基づいているが、それにはいくつか理由がある。信頼こそがこの仕組み全体を機能させている。オープンソースとオープンスタンダードをできるだけ利用することで、われわれのシステムの仕組みを理解してもらえるようになる」 - - [noteで書く](https://note.mu/intent/post?url=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35235355%2F&ref=https%3A%2F%2Fjapan.zdnet.com%2Farticle%2F35235355%2F&hashtags=ZDNET) ## ZDNET Japan クイックポール所属する組織のデータ活用状況はどの段階にありますか？ ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。 ITビジネス全般については、 [CNET Japan](https://japan.cnet.com/) をご覧ください。