ウェブサイトの多くが、Transport Layer Security(TLS)によって暗号化されていなかったのはそれほど昔のことではないかもしれない。そうしたサイトは、アドレスがHTTPSではなくHTTPで始まっているため、すぐに特定できた。Let's Encryptによると、世界のウェブページの81%が現在HTTPSを使用しており、米国内であればサイトの91%が保護されている。安全に閲覧できるウェブサイトが大きく増加しており、これにはInternet Security Research Group(ISRG)と、そのLet's Encryptプロジェクトも寄与しているだろう。Let's Encryptは米国時間2月27日、証明書の発行数が10億件に達したことを明らかにした。
これらのTLS証明書がなければ、ログイン情報やパスワードがWiFi経由で容易に盗まれる恐れがある。信頼できるセキュリティーを確保する唯一の手段は、すべてのウェブサイトが暗号化通信を行うことかもしれないが、それができなかった理由として、TLS証明書の取得が高額で、管理が煩雑だったことがあげられる。そうした問題に対応すべく、2015年にLet's Encryptが誕生した。
ISRGのエグゼクティブディレクターで、Let's Encryptの立ち上げ時にMozillaの上級技術ストラテジストを務めていたJosh Aas氏は当時、次のように述べていた。「暗号化は、ウェブのデフォルトであるべきだ。ウェブは今日複雑な場所になっており、消費者が自身のデータを管理するのは困難だ。すべての人の個人データや情報がウェブを介して送られている間、確実に保護する唯一の信頼できる戦略は、すべてを暗号化することだ。Let's Encryptは、それを簡素化している」
Let's Encryptは、ユーザーや企業に無料のTLS証明書を発行しただけでなく、TLS証明書を簡単に使えるようにした。それは「Automatic Certificate Management Environment(ACME)」プロトコルでプロセスを自動化することで実現した。現在、IETF標準のRFC 8555として公開されているACMEは、公開鍵インフラ(PKI)証明書を自動的に生成するため、多数の安全な証明書を発行できるようになっている。
Let's Encryptは現在約2億件のウェブサイトにサービスを提供しているが、2017年6月以来スタッフ2名、予算は28%増加しただけだという。
このようなことはすべて、サイトの接続を保護したいオーナーにとって素晴らしいことだが、安全なサイトが良いサイトだとは限らない。保護されていながら、悪事を働くサイトもあるかもしれない。
Let's EncryptがTLS証明書の発行を自動化したことで、犯罪者も容易にセキュアなサイトを実現できるようになった。ハッカーがLet's Encryptの証明書を悪用していた例もある。サイトへの安全な接続が、サイト自体の安全性を意味するわけではない。
Let's Encryptはセキュリティー向上の取り組みを続けている。例えば、Let's Encryptは最近、ドメインの検証方法を強化した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)
"保護する" - Google ニュース
February 27, 2020 at 07:08PM
https://ift.tt/2I06Sd1
Let's Encrypt、証明書の発行数が10億件に到達 - ZDNet Japan
"保護する" - Google ニュース
https://ift.tt/2OGHhcY
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment