インターネットにおいて安全な通信を実現するため、これまでHTTPSの利用が呼びかけられてきた。HTTPSを使用するには認証局から証明書を発行してもらう必要がある。当然、証明書の発行には手数料が発生する。業界は安全な通信を実現するためにHTTPSの普及を呼びかけていたが、証明書の料金などがネックになり想定しているスピードでHTTPSは普及しなかった。
しかし、Let's Encryptが登場してからこの状況が変わり始める。Let's Encryptは非営利の認証局。無償で証明書を発行できるため、証明書を取得してHTTPSを使用するサイトの増加率が以前よりも大きくなった。Let's Encryptが発行する証明書は有効期限が90日間と短いがプログラムで自動的に更新できるため、多くのサイトがLet's Encryptを使うようになった。
そうした中、Let's Encryptは2月10日(米国時間)、「Preparing to Issue 200 Million Certificates in 24 Hours - Let's Encrypt - Free SSL/TLS Certificates」において、システムの性能強化やネットワークの高速化などに取り組み、24時間で2億の証明書を発行することが可能になったと伝えた。
Let's Encryptはほぼ1年前にコンプライアンスに影響を与えるバグに遭遇した。このバグが原因でLet's Encryptは2020年3月3日(米国時間)には305万弱ほどの証明書を強制的に無効化すると発表している。これは当時のLet's Ecnryptが扱う証明書全体の約2.6%が強制無効化の対象になったことを意味していた。
このインシデントはLet's Encryptの意思決定に影響を与えたようだ。仮に、先程のインシデントのバグがすべての証明書に影響を与えた場合、1億5000万以上の証明書を取り消して置き換える必要があることになる。さらにインシデント発生時の問題評価と決定にかかる時間を加味すると、再発行にかけられる時間は24時間よりも短くなる。Let's Encryptはこれを最悪のシナリオと定め、この状況に陥った場合でも24時間以内に証明書を取り消して置き換えることができる体制を整えたと説明している。
-
Preparing to Issue 200 Million Certificates in 24 Hours - Let's Encrypt - Free SSL/TLS Certificates
内部のインフラストラクチャが強化されているという。主な強化内容は次のとおり。
| 強化前 | 強化後 | |
|---|---|---|
| データベース | デュアルIntel Xeon E5-2650 v4 CPU 24物理コア、1TB MEM、RAID10 3.8TB SSD(SATA) 24台 | デュアルAMD EPYC 7542 CPU 64物理コア、2TB MEM、ZFS 6.4TB NVMe 24台 |
| ネットワーク | 1G(銅)、一部10Gポート | 25G(ファイバー) |
| HSM性能 | 1000署名/秒 | 10000署名/秒 |
データベースのプロセッサ性能が引き上げられたほか、ストレージがSSDベースのRAID10からNVMeベースのZFSに切り替えられた点、ネットワークが1Gから25Gへ引き上げられた点などが注目される。証明書の発行は帯域幅を消費するものではないが、インシデント発生時にはシステムの回復と分析にはるかに多くの帯域幅を使用するとし、帯域幅の増加も実施したとされている。
