開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2018/09/27

実は「何も証明しない」サーバ証明書、HTTPSが当たり前なら何を信頼すればよい?

W3CによるHTTP/2(HTTPバージョン2)の議論に端を発する、Webにおける通信の常時暗号化の問題。グーグルが主導する形で、Webブラウザは「HTTPS通信以外、安全な通信でない」と扱うようになってきている。その影響はあらゆるWebページにかかわるものだが、問題はサイト運営者の作業だけではない。サーバ証明書のビジネスや認証局の在り方にも及ぼうとしている。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
サーバ証明書は実は何も証明していない? HTTPS化によって変わる認証局・サーバ証明書の意義とビジネス
(©Aleksey - Fotolia)

グーグルが主導するHTTPS化の流れ

 2018年夏、ラスベガスで毎年開催されるBlack Hat USA。今年の基調講演は「セキュリティ界のプリンス」の異名をとるパリサ・タブリス氏が行った。パリサ氏はこの中で、ChromeのHTTPS対応について何度も語る場面があった。

 パリサ氏は、グーグルでChromeの開発やProject Zeroの指揮をとる立場にもあり、グーグルは、すべてのWeb通信は暗号化されるべきと、同社のWebブラウザChrome 68から、HTTPS通信に対応していないサイトは危険なサイトとして警告文を表示するようにしている。

 世界のWebブラウザシェアで50%を超えるChrome(全バージョンの合計:statecounter調べ)が、HTTPS非対応のサイトを明確にネガティブに分類したことで、あらゆる業界がサイトの常時HTTPS対応に迫られている。

 日本でも、2018年に入りメガバンク、省庁のサイト、大手ポータルサイトなどはいち早く対応を済ませている。中小企業や個人商店のサイトなどはサイトごとのばらつきが多く、若干遅れているが、Edge、Safari、FirefoxなどもHTTPS通信以外を安全でないとする方向に動いている。企業の規模にかかわらず、サイト内の全ページがHTTPS化されていないと、今後、多くのWebブラウザに表示さえ拒否されるようになるかもしれない。

問題は移行コストだが無料認証局も登場

 企業などがサイトを常時HTTPS化対応にするには、認証局にサーバ証明書を発行してもらう必要がある(正確な表現ではないが、詳細は後述する)。大企業では2017年ごろからサイト内の全ページのHTTPS化を進めてきており、各認証局(原則として民間企業がビジネスとして運営している)も対応に追われている。

 企業においては、HTTPS化(SSL通信)していたログイン画面、カード情報や個人情報を入力する画面以外も改修しなければならない。ヤフーは、大きなプロジェクトチームを立ち上げ、全社に協力を仰ぎつつ1年という期限を切って移行を成功させた。中小企業や個人商店のサイト(自分でサイトを構築・管理している場合)も、必要な作業は同じだ。全ページの通信をHTTPSプロトコルによる暗号化通信に対応させ、サーバ証明書を取得する必要がある。

 中小企業で問題になるのは、サーバ証明書の発行と維持にはコストがかかることだ。通常は、年間数万円から数十万円の発行手数料がかかるが、HTTPS化の動きを受け、認証局も、さまざまなプランを作っている。無料でサーバ証明書の発行、インストール、更新などを行っている「Let's Encrypt」という認証局も存在する。Let's Encryptは、HTTPS化を支援・促進する意味もあってサービスを提供している。

ECサイトポータルが認証局を運営するところも

 サイトの維持にかけられるコストに制約がある個人商店や中小企業で、Let's Encryptの証明書を利用する動きが広がっている。なお、ネット通販に大手のモール系サイト(楽天など)を利用している商店などは、ドメインが運営会社のサブドメインとなる。そのため、ECモールの運営会社が、必要な証明書を取得して、会員サイトのページをHTTPS化していくことになる。

 無料の認証局については、もうひとつのアプローチもある。たとえば、国内でECサイト構築やネット通販支援ビジネスを展開する「Eストアー」は、クロストラストから認証局の事業譲渡を受け、無料のサーバ証明書を発行している。主に自社ソリューションの顧客向けだが、証明書の発行は誰でも受けられるという。今後の動向を見据えて、サイト構築のインフラの一部として認証局を買収した形だ。

 Eストアーでは、クロストラストから事業譲渡されるにあたって、自社でWebTrust認証を受けている。この認証を受けるのもコストがかかる。通常は、ビジネスとして認証局を運営する前提なのだが、採算がとれるのかという疑問もある。

【次ページ】HTTPSがサイトのデフォルトになると、サーバ証明書はこれまで以上に意味がなくなる?

PKI・暗号化・認証 ジャンルのセミナー

PKI・暗号化・認証 ジャンルのトピックス

PKI・暗号化・認証 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!