EFFは無料のSSL証明書の提供でウェブ暗号化の取り組みを主導する
ブレア・ハンリー・フランク著
電子フロンティア財団は、Akamai、Cisco、Identrust、Mozilla、ミシガン大学のチームと協力し、無料のセキュリティ証明書と、Web サーバー上で簡単に設定できるソフトウェアを提供することで、Web 全体の暗号化を促進することを目的とした新しい取り組み、Let's Encrypt を立ち上げました。
政府によるスパイ活動への懸念が高まる中、ウェブサイト運営者が利用できる重要な防御策の一つが、HTTPSを使用したTLS暗号化です。特別なセキュリティ証明書を使用することで、暗号化によってWeb上を移動するトラフィックを攻撃者が読み取るのを防ぐことができます。これは、証明書を保有するユーザーのみがトラフィックを解読できるためです。
多くのテクノロジー企業がウェブのセキュリティ強化に取り組んでいます。Googleは最近、検索結果でHTTPS対応サイトを優先すると発表し、他の企業も様々な方法で暗号化を強化しています。しかし、暗号化の設定は面倒な場合があります。
ウェブサーバーに暗号化を導入する上で最大のハードルの一つは、証明書の設定がいかに難しいかということです。EFFによると、テストの結果、経験豊富なシステム管理者であっても証明書の設定と実行に1時間以上かかることがあり、経験の浅いオペレーターは設定にその何倍もの時間を費やす可能性があることが明らかになりました。
これを回避するために、Let's Encrypt は、ウェブ管理者がいくつかのコマンドを入力するだけで無料で証明書を設定できるソフトウェアを搭載しています。動作を確認できる動画はこちらです。
Let's Encrypt証明書の価格は、その背後にある技術的な魔法と同じくらい重要です。人々が求めているものによっては、証明書は数百ドルかかる場合があり、多くの場合、一定期間後に失効します。ある意味では、これはセキュリティ機能と言えるでしょう。証明書を変更することで、古い証明書を入手した攻撃者がそれ以上のスヌーピングを行うことを防ぐことができます。しかし、同時に、中小企業の経営者が支払いを望まないコストも発生します。
もちろん、無料の証明書の提供はパズルのピースの一つに過ぎません。私たちのテストで明らかになったように、サードパーティのコンテンツはサイトが全面的に暗号化を導入することを困難にする可能性があります。しかし、この取り組みはより多くのサイトがコンテンツを暗号化するよう促し、今後の移行を容易にする可能性があります。
無料の証明書の取得を楽しみにしている人はまだ少し待つ必要があります。このサービスは来年の夏に開始される予定です。
