Let's Encryptとはなにか?
Let’s Encryptのプレスリリースが出てきた時、なにがなんだかよくわからなかった。年末年始にちょっと調べてみたので、簡単にまとめておく。
近年、インターネットにおいて、通信をエンドツーエンドでできるだけ暗号化しようという動きが始まっている。これは、セキュリティやプライバシーのことを考えてのことであり、望ましいものである。
しかし、ウェブの世界では、SSL(TLSと書くべきなのかもしれないが、SSLって書いちゃったので以下ではSSLで統一しておく)の普及はまだまだ遅れている。これには2つの問題点があって、ひとつはSSLの証明書が有料であること、もうひとつはSSLの証明書の設定が煩雑であることである。Let’s Encryptはこれらの問題点を解決し、ウェブの世界でSSLをより普及させるためのプロジェクトである。このプロジェクトのため、Mozilla、Cisco、Akamai、IdenTrust、EFFらは公益法人Internet Security Research Groupを設立した。
ひとつめの問題は、無料でSSL証明書を提供することで解決できる。2つ目の問題は、SSLの設定を自動化することで解決する。これまでのSSLの設定は、多くの場合、メールでややこしい文字列のコピペをしたり、コマンドラインで生成した鍵をブラウザに貼り付けたり、面倒が多かった。Let’s Encryptでは、これらを自動化してしまう。
ありそうなQandA
証明書は誰が発行するの? 普通のブラウザがちゃんと対応してる証明局なの?
ISRGにはIdenTrustがメンバーとして入っているので、証明書はIdenTrustが発行するものと思われる。(もしくは、Let’s Encrypt用の認証局を、IdenTrustが認証する?ここらへんの詳しい仕組みはよくわかってない。)IEやChromeのように、Firefox以外のブラウザでも利用可能な可能性は高い。というか、Firefoxしか対応してくれなかったら、たぶん誰も使わないよね。
無料でSSL証明書を発行しちゃってどうするの? 証明局、潰れちゃわない?
証明局は多くの場合、EV SSLという、より信頼性の高い証明書も提供しており、こちらは引き続き有料である。また、SSLの証明書には、OCSPレスポンダの品質のように、差別化が可能な面が存在する。(Akamaiが入っているということは、Let’s Encryptで提供されるOCSPレスポンダもかなり気合をいれたものになるのでは、という気もする。その場合、OCSPレスポンダの品質での差別化は難しいかもしれない。)これらの理由により、証明局のビジネスに与えるインパクトは大きなものではないだろう。
自動化するって具体的にはどうするの?
現在は、Pythonで書かれた実装で、SSLの証明書を自動的に発行してもらう(この際にはAutomated Certificate Management Environmentというプロトコルを用いるようだ)というものの開発が進んでいる。Apacheの設定を自動的に書き換えてしまうことまで可能なようである。
