無料証明書によるSSL対応

「Let's Encrypt」証明書発行数の推移

無料で入手できるSSL証明書が増えて、個人のブログなどで、SSL/TLS暗号化が急速に進展しています。

2016年になって、DV証明書の無料発行・提供が増えています。

無料のSSL証明書

2016年5月:「Let's Encrypt」の無料SSL証明書発行数が300万を超えた(右上グラフ)

2016年5月3日Googleが、Blog Spotを全てSSL対応にしたと発表

2016年4月6日WordPress.comvが、ホスティングしている全独自ドメインで「Let's Encrypt」のSSL証明書を利用して無償でSSL対応すると発表

2016年2月24日ファーストサーバZenlogicホスティングで無料の「Let's Encrypt」証明書の取扱いを開始

■2016年1月21日Amazonが、AWS Certificate Manager無料でSSL/TLS証明書を発行を発表

  • Amazon Trust Services(ATS)を認証局とする証明書をAWS上にWebサイト用に発行する
  • この証明書はDV証明書のみ
  • この証明書はElastic Load Balancer(ELB)、Amazon CloudFrontに適用して利用可能
    (証明書をダウンロードして、他のサーバで使うことができない)
  • 証明書の秘密鍵は、ACMで管理
  • 証明書の更新は自動的


Let's Encrypt」の無料証明書発行数は月間130万ペース

Let's Encrypt」のSSL証明書発行数は、4月12日の正式サービス開始時は169.4万でしたが、5月9日現在302.2万になっています。4週間で、130万ほど増加しています。

SSL/TLS証明書を無償で発行するAWS Certificate ManagerをAmazonが2016年1月26日にAmの発表しています。


Let's Encrypt」は有効証明書数でシェアNo.1
「Let's Encrypt」有効証明書発行数の推移

失効していない有効証明書発行数でみても、4月12日時点の141万から3週間で約50万増加して、5月4日時点の有効証明書数193.3万になっています。

有効なSSL証明書数のシェア(2016年2月)

2月18日時点での有効証明書発行数No.1は、COMODO(196.8万)でトップで、「Let's Encrypt」は、有効証明書発行数70.8万で4位でした。

5月4日で193.3万ですが、3週間で50万のペースで増加しているなら、5月9日時点では、200万を超えて有効証明書数一位になっているものと思われます。

Let's Encryptの証明書

Let's Encrypt」が発行するのはドメインの保有を証明するドメイン認証SSL/TLS証明書です。

  • Let's Encrypt」は、DV証明書(Domain Validation)以外は発行しません。

ドメイン名の登録者であり、法的に実在することを認証するOV証明書(Organization Validation)、OV証明書より厳格な審査で発行されるEV証明書(Extended Validation)」を、「Let's Encrypt」は発行しません。

  • 主なWebブラウザーが「Let's Encrypt」に標準で対応しています。

Let's Encrypt」が発行する証明書は、米国の認証局(CA)である IdenTrustの証明書によって、中間証明書「Let's Encrypt Authority X1」および「Let's Encrypt Authority X2」に対するクロス署名(クロスルート証明書)が行われています。

IdenTrust のルート証明書を信頼していれば、そこからのからチェーンをたどり、Let's Encrypt の証明書は「信頼された証明書」として扱われます。

LINE BOT API Trial Accountで利用できる SSL 認証局に「Let's Encrypt」も加えています。

  • 「Let's Encrypt」の証明書は、独自ドメインの所有者であれば個人でも、商用サイトであっても利用できます。
  • 有効期限は90日間となっています。
  • 1つの証明書で、複数の異なるドメイン名で、同じ SSL/TLS サーバ証明書を使用することが可能

複数のドメイン名を指定することで、複数ドメインに対応した証明書を発行する。ブラウザは、サブジェクトの代替名SAN : Subject Alternative NameのリストにWebサイトのドメイン名が掲載されていれば、正当な証明書として受け付ける

Let's Encrypt」の運営は、Cisco、Akamai、mozilla、Chrome、米電子フロンティア財団(EFF)など年間4千万円づつ、、Facebook、Gemalto、HPなどのスポンサー企業からの寄付に頼っています

Let's Encrypt」の歩み


EV証明書、OV証明書、DV証明書

証明書を発行する際の、申請者/組織の確認事務所により、証明書の種別が決まります。

ドメインの持ち主であることだけを確認して発行するのがDV証明書、さらに登記事項確認もするのがOV証明書、さらに厳密に審査した証明書がEV証明書です。

発行された証明書が、EV証明書か、OV証明書か、DV証明書かを知る手段は、証明書の証明書ポリシーにある拡張フィールドにある、オブジェクト識別子 (OID) です。

このOIDによりEV証明書であることを判断します。EVであることを示すOIDは、各証明書発行者ごとに異なり、統一されていません。

DV証明書 OV証明書 EV証明書
通信の暗号化
ドメインの
保有を証明
企業/組織の
実在性を証明するための発行手続きの例
なし

登記事項確認
+電話で申請者在籍確認

登記事項確認
+電話で申請者在籍確認
+署名権限確認者の在籍確認
+申請責任者確認
その他

ブラウザのアドレス欄がグリーンになり、アドレスバーに組織名表示
費用 無料~低


DVであれ、EVであれ、証明書の発行には、ミスがあります。

EV証明書であっても、シマンテックが一部のGoogleドメインなどの23枚の証明書の発行ミスしてしまう事件(発行ミスに関するSymantecの報告書)があったことがあります。


GoogleのSSL推進

Google-HTTPS-traffic.png

Google透明性レポートにあるHTTPSの割合は、75%を超えています(右のグラフ)。

さらに、Googleは、SSL対応が任意であったBlog Spotも全てSSL対応にすると5月3日に発表しました。

今まではSSL対応する/しないは設定で変更可能でしたがSSLのON/OFF設定を無くして、全てのブログをSSL対応にします。

SSLリダイレクト設定も新たに追加して、リダイレクト=YESにすればhttp://でのリクエストもhttps://にリダイレクトして全てSSLで通信をします。
SSLリダイレクト=NOであれば、http://でリクエストがあった場合はSSLで暗号化せずにレスポンスを返します。

最近のブログ記事

SORACOM,HLR持ちeSIM対応
SORACOMが自前のHLRを持ち、自…
準天頂衛星4機体制に
h2{ font-size:12…
Windows 10 mobile終了
Windows 10 mobileの新機…
カスタム検索

月別 アーカイブ