南京錠アイコンは私たちの味方です。特にオンラインショッピング、ウェブメールへのログイン、銀行の機密情報へのアクセスなど、ブラウザのアドレスバーで南京錠アイコンを探すように、私たちは訓練されてきました。しかし、安全なブラウジングは例外ではなく、ルールであるべきではないでしょうか?Let's Encryptというプロジェクトは、まさにそれを推進しようとしており、2015年半ばから開始されます。
現在、ほとんどの人気ウェブサイトはHTTPSという形で安全なホスティングを使用しています。HTTPSは、ウェブの基盤となるHTTPプロトコルの一種で、Secure Sockets Layer(SSL)暗号化技術、あるいはその後継技術であるTransport Layer Security(TLS)も組み込まれています。Googleは2011年にHTTPSをデフォルトで有効化し、Yahoo!は今年1月にメールサービスのデフォルトに採用しました。Twitterは2012年から安全な接続を使用しています。しかし、Trustworthy Internet Movementの最新のデータによると、151,000の人気ウェブサイトのうち、SSL/TLSの実装に基づいて安全と判断されるのはわずか24%です。
問題は、安全なウェブサイトの構築が面倒だということです。難解なコマンドラインツールを熟知していても、技術に精通した人でも、暗号化通信を保証する機能の設定と有効化は、暗号証明書の申請、インストール、そして最新の状態への維持といった複雑なプロセスです。これらの証明書は、信頼チェーンを提供する証明機関(CA)によって裏付けられている必要があります。つまり、サイトが本当にそのサイトであることを証明することです。そして、CAは通常、このサービスに料金を請求します。しかも、少額ではありません。そのため、多くのウェブサイト管理者は、eコマースなど、どうしても必要な場合を除いて、安全なサイトの構築に手間をかけません。
非営利団体のインターネットセキュリティ研究グループ(ISR)によって設立され、Mozilla、電子フロンティア財団(EFF)、Akamai、Ciscoといった有力企業の支援を受けているLet's Encryptは、こうした障壁を一掃しようとしています。まず、セットアップを単一のコマンドラインツールに簡素化することで、Let's Encrypt(それ自体が認証局)によるサイト認証と証明書の取得・設定に必要な「事務作業」をすべて自動化します。次に、前述の団体の支援を受けて、証明書発行プロセスを無料化します。これら2つの障壁が取り除かれることで、Let's Encryptは、サーバー上で安全なトラフィックを実現するウェブサイトの数を大幅に増やしたいと考えています。
しかし、それでもまだ部分的な解決策にしかならないかもしれません。SSL自体も完璧ではありません。今年初め、セキュリティ専門家は「Heartbleed」と呼ばれる脆弱性を発見しました。これは、非常に普及しているOpenSSLソフトウェアを使用しているすべてのシステムに影響を与えました。さらに最近発見された「POODLE」と呼ばれる脆弱性は、古いバージョン(しかし依然として広く使用されている)のSSL/TLSにも影響を与えました。そしてもちろん、最高の暗号化であっても、非技術的な手段によって破られる可能性があります。
しかし、これらの脆弱性にもかかわらず、暗号化されたトラフィックは暗号化されていないトラフィックよりも依然として優れています。HTTP 2.0仕様を担当するインターネット技術タスクフォース(IETF)ワーキンググループは2013年に、新規格では暗号化されたトラフィックをデフォルトとすることを提案しましたが、暗号化されていないオプションも引き続き提供されるようです。
Let's Encryptが来年のローンチで大きな進展を遂げることができれば、より安全なウェブブラウジング体験を誰にとっても実現できるかもしれません。そしてもしかしたら、安全なウェブトラフィックが事実上の標準となった暁には、あの小さな南京錠アイコンもついに廃止されるかもしれません。
