ペンタセキュリティは1月2日に新たなセキュリティコラムを公開し、SSLサーバ証明書を取り巻く現状を解説した。コラムでは、インターネット上でハッキング攻撃の危険性が高まる今でも、企業が運営する多くのWebサイトがSSL/TLSによる暗号化通信をできていないと指摘。Atlas21が2016年5月に実施した調査を例に出し、東証一部の主要企業ではWebサイトの全ページに暗号化通信を適用しているのが全体の1%で、世界の主要企業の適用率が約17%であることに比べて低いことを問題視している。
また安全性の高い暗号化通信をするには、サイトの運営元が認証機関(CA:Certificate Authority)に申し込み、SSLサーバ証明書を発行してもらう必要がある。この証明書の発行率が低いことも指摘している。
SSLサーバ証明書の発行率が低い原因は2つあるという。1つは高額な費用で、有料SSLサーバ証明書には年間約80~400ドルかかり、そのほかEV(Extended Validation)、Wildcardなどのオプションを追加するとさらに費用が増す。もう1つが複雑なドメイン認証作業だ。認証機関から認証を受けるためにはメール認証、DNSレコードの追加などの作業が必要になるほか、発行後も直接Webサーバにアップロードしなければならない。この作業はサーバ証明書を更新するたびに同じ作業が必要となる。これらのことからサーバ証明書の発行が敬遠されているのだという。
こうしたSSL使用の参入障壁になりうる問題を解決し、誰もが安全な暗号化通信を使えるような環境を作るために無料のSSLサーバ証明書を発行する機関もある。例えばMozilla、Cisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrustなどが協力して、ISRG(Internet Security Research Group) という認証機関がそれにあたる。ISRGは「Let’s Encrypt」というプロジェクトを実施している。
Let’s Encryptの特徴は、最大2,000個/1週のルートドメインへのSSLサーバ証明書の発行が無料であること。Cert botというソフトウェアをウェブサーバに設置すれば認証作業が自動的に行われ、メール認証、DNSレコードの追加などの作業が必要ないことが挙げられる。またドメインが認証されると、Let’s Encryptから自動的にサーバ証明書を発行の上、ウェブサーバに保存し90日単位で自動で更新を行う。サーバ証明書の発行、更新にともなう作業も必要ないという。
■Let’s Encryptについてはこちらもチェック
【特別企画】ペンタセキュリティのCloudbricがLet’s Encryptの連携による無料SSL認証書サービスの提供を開始
Let’s Encryptは、認証機関で発行する商用SSLサーバ証明書と同じレベルのセキュリティを確保できているもので、コラムでもセキュリティ上は「安全」だと言い切っている。発行したSSLサーバ証明書を有償SSLサーバ証明書と同様にWebブラウザー上で確認できることからも、Let’s Encryptが商用SSLサーバ証明書と同じレベルのセキュリティを確保していることが言えるという。
|
Internet Explorerの信頼できるルート認証機関 |
|
上は商用SSLサーバ証明書の例。下はLet’s Encrypt SSLサーバ証明書の例 |
|
商用SSLサーバ証明書とLet’s Encrypt SSLサーバ証明書のルート認証機関 |
Let’s Encryptの使い方には特徴がある。従来の商用SSLサーバ証明書の場合、メール認証、DNSレコードの追加などの方法を通じてドメインを認証するが、Let’s Encryptは、cert botを通じて自らドメインを認証するため、使用のためには、当該ソフトウェアをインストールする必要がない。
具体的には、Electronic Frontier Foundation(EFF)のWebサイトで使用中のWebserverおよびOSを指定した後、指示に従ってCert botを設置、実行すればよいのだという。後はServer Nameの設定画面で、HTTPSを適用するドメインを入力する。
|
Cert botの実行後、表示画面 |
|
HTTPSを適用させるドメインの入力画面 |
認証後はSSLサーバ証明書が発行される。サーバ証明書はetc/letsencryptディレクトリに自動保存され、「example.jp」にHTTPSを適用したドメイン名、「YYYY-MM-DD」にSSLサーバ証明書の有効期間が表示される。
ブログの最後には、Let’s Encryptをより簡単に導入できるFree Website Security Serviceの「クラウドブリック(Cloudbric)」を紹介している。クラウドブリックは、認証作業においてgit packageの設置やcert botソフトウェアのダウンロード、コマンドの入力といった操作を簡略化できるのがメリットだという。Cloudbric加入後にHTTPSを適用するウェブサイトだけ登録すれば操作を完了できるという。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供:
