SSL/TLSを無料・簡単に、Web全体の暗号化を目指す「Let's Encrypt」発表

電子フロンティア財団(Electronic Frontier Foundation: EFF)は11月18日(米国時間)、SSL/TLSの採用を促進する認証事業者(CA)イニシアチブ「Let’s Encrypt」を発表した。ドメイン所有者が簡単なプロセスでDV証明書の発行を無料で受けられるようにし、Webアクセスでやり取りする全てのデータの暗号化実現を目指す。2015年夏に運用開始する予定。

Let’s Encryptは、Mozilla、Cisco Systems、Akamai Technologies、EFF、IdenTrust、ミシガン大学の研究者などによる協同の取り組みで、新たに設立された非営利組織Internet Security Research Group (ISRG)によって運営される。

なりすましやフィッシング、個人データの盗用や悪用といった被害を減らすために、SSL/TLS証明書によるHTTPの暗号化(HTTPS)がWeb全体に広がらなければならない状況だが、積極的に採用する動きが十分に広がっていないのが現状である。EFFは「導入の仕組みの複雑さ」「ビューロクラシー」「コスト」の3つがHTTPS採用の障害になっていると指摘する。

Let’s Encryptは以下の6つの原則を掲げている。

無料: 全てのドメイン所有者が無料でドメインの検証と証明を受けられる。
自動: 証明書の取得とインストール、更新などのプロセスが負担にならないように自動化。
安全: モダンで効果的なセキュリティ技術を採用。
透明性: 証明書の発行と取り消しに関する全て記録を検査可能に。
オープン: 発行・更新を自動化するプロトコルにオープン標準を採用、また可能な限りオープンソースのソフトウエアを用いる。
協同: コミュニティ全体の利益を目指した協同の取り組み。

Let’s Encryptはドメインの確認と証明書の発行をセキュアに自動化し、スムーズに管理できるように数々の新技術を採用する。例えば、CAとWebサーバ間のプロトコルにより強力なドメイン検証を含むACME(Automated Certificate Management Environment)を用い、またEFFのDecentralized SSL Observatoryやミシガン大学のscans.io、GoogleのCertificate Transparencyログなど、証明書のデータセットを広範に採用する。EFFのテストでは、知識を持つWeb開発者でも初めて暗号化を有効にする際には1-3時間を要した。Let’s Encryptはそれを20-30秒にまで短縮しようとしており、GitHubでACMEクライアントの開発者プレビューを公開した。