Let's Encrypt(無料認証局)の信頼性は低いのか?
どうも、器用貧乏です。
今日は、Let'sEncrypt(無料認証局)についてです。
あまり、詳しいわけではないので、簡単に・・・。
「上場企業や、政府関連ドメインで、Let'sEncryptが使われているのが衝撃的!」的な、ツイートが、震源となって、Let'sEncryptの信頼性的なところが争点になっているようですが・・・。
なんか、ゴチャゴチャしてるので、器用貧乏的にまとめてみます。
1.SSL/TSLの仕組みと、認証局とは?
SSLというのは、ネットワーク上で安全に通信をするための仕組み(通信ルール)です。
ざっくりとした、図を書いてみましたのでご覧下さい。
上の図を見て貰えば、何となくわかると思いますが、認証局は、利用者から「公開鍵やサーバー情報など」を受け取って、それを元に証明書を発行している所です。
2.証明書の種類
先ほどから、「など」を強調していますが、この「など」によって、証明書には種類が分かれてきます。
DV証明書
ドメインの管理権限を確認して認証された証明書です。ドメインを使って、サーバーにアクセスできるかなど、オンラインだけで完結することもできる認証です。(Let'sEncryptはこの認証方法です。)
OV証明書
認証を依頼してきた所が実在するか、電話などをかけることで調べ、認証された証明書です。発行されたSSL証明書の属性には、組織情報が記載されます。
EV証明書
上記のOV証明書よりも厳格に、登記簿提出や住所確認などなどすることで、認証される証明書です。もちろん、組織情報などが証明書に記載されます。
3.証明書が違えば、暗号化を破られるのか?
答えは、「いいえ」です。
どの証明書ではあれ、信頼された認証局から発行されている証明書であれば、暗号化の堅牢性には違いは無いと認識しても問題ありません。
どの種類の証明書であっても、図のピンク枠の「通信の仕組み」内の動きは同じですから、今現在、SSL認証の仕組みが完全に破られた!といった様なニュースは、私は見たことないですから、安全だと思います。(秘密鍵を漏洩させたりしてしまった場合は、破られるでしょうが・・・それはサーバーの設定や人為的ミスが理由だと思います)
4.認証局の役割は限定的
勘違いしてはいけないのは、認証局がアクセスしている相手が、悪意がない人(団体)であることを証明しているわけではないということです。
これは、DV・OV・EV、全ての証明書で言えることです。その企業や団体がその住所にあるから、謄本が提出されたから・・・電話番号が繋がるから・・・ドメインを持ってるからなどということは、その企業や団体が、悪意のない団体であることの証明にはならないのです。
振り込め詐欺集団だって、法人を作ることはできますし、ペーパーカンパニーなんて、さほど難しくなく買うことも可能なのです・・・。
5.Let'sEncryptは、結局、信頼できるのか・・・。
Let'sEncypt(無料認証局)は、「DV証明書」を発行することができる認証局ですが、ちゃんと信頼されている認証局ですから、SSLによる暗号化は、正しく行われますし、全く問題ありません。企業であれ、公的機関であれ、個人であれ関係ありません。
先に述べたように、どの証明書でも、どの認証局だろうと悪意を以て証明書を取得することは可能ですから、とりわけ、DV証明書だから怪しいとか、Let'sEncryptだから怪しい!などということはありません。
6.最終的には、「自分の身は自分で守ろう」
悪意あるユーザーに通信の中身を覗き見られ、クレジットカードや個人情報が安易に漏洩する方が問題なのですから、ネットワークの通信を全て暗号化(SSL化)することが重要で、そのために誰でもが比較的簡単に利用できるDV証明書は必要不可欠ですし、そのためにも、GoogleやMozillaなどのブラウザベンダー(ブラウザーを提供している団体)もSSL化に積極的に動いています。
クレジットカード情報や、個人情報などを入力するときは、自分がアクセスしてるドメインが、正しいかどうかは、もう一度も確認することが重要だと、器用貧乏は思うのです。
【追記】
詳しく知りたい方は、この方のサイトが解りやすいと思いました。