タグ: HTTPS

Mozillaは悪名漂うUAEのDarkMatterをHTTPSの証明提供者として否認

Firefoxブラウザーを作っているMozillaが、監視サービスDarkMatterが発行する証明を信用しないと発表し、同サイトへの何か月にも及ぶ警告を終了することになった。

数か月前にアラブ首長国連邦のDarkMatterはMozillaに、そのルート証明をFirefoxで公式に信用される証明として認めるよう求めた。認められればそれが発行するHTTPS証明がFirefoxでも使われることになる。Mozillaやそのほかのブラウザーメーカーは、その承認リストを見てどのHTTPS証明なら信用できるかを判断し、Webサイトのアイデンティティを確認したり、そこを行き来するデータが安全であることを認定する。

しかし証明の発行者が悪者だったら、暗号化されたインターネットトラフィックが横取りされて、ユーザーは偽のWebサイトに連れて行かれたりする。

DarkMatterには、マルウェアやスパイウェアを作って監視目的で利用したり、同社を批判するジャーナリストをそのターゲットにするなど、いかがわしい行為の履歴がある。数週間前のロイターの記事によると、このUAEの企業はアメリカの国家安全保障局(NSA)の元職員たちを雇って、同国のアラブ人君主の要請で一部のメディア上の人気者や政権批判者をターゲットにしていた。

しかし同社は証明発行機関としては履歴がクリーンだったので、Mozillaは難しい立場に立っていた。

Mozillaはあやしい履歴のあるDarkMatterを証明発行機関として認めるべきか、それとも万一のリスクを避けるために拒否すべきか。

そして最終的には、後者が勝利した。

Mozillaの証明機関事業の管理者Wayne Thayer氏は次のように語る。「われわれの他の何よりも優先する責任は、Mozillaのプロダクトを信頼している個人を護ることだ。DarkMatterはユーザーに相当大きななリスクをもたらす」。

彼はさらにこう言う。「彼らがこれまでやってきたことを見ても、DarkMatterを中間証明者として信頼できないとする決定は支持されるだろう」。

MozillaはDarkMatterのビジネスの好悪両面を検討したが、ブラウザーメーカーとしてのいちばん重要な原則、「インターネット上の個人のセキュリティとプライバシーは選択可能なオプションとして扱うべきでなない」に従って、DarkMatterの証明採用の要請を断らざるをえなかった、とThayer氏は言っている。

同様にMozillaが中間証明者として信用しなかった企業は、他に6社ある。

DarkMatterは、火曜日(米国時間7/9)現在、コメントの求めに応じていない。

関連記事: プロバイダーの業界団体がMozillaをインターネットの悪党と非難

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Chrome 70ではHTTPS証明の不具合をめぐって数百もの人気サイトがアクセス不能になる

Google Chromeの次のバージョン(v70)では、多くの安全なサイトがエラーメッセージを表示して停止する。それはこのブラウザーが、一連のセキュリティ事故のあと、メジャーなHTTPS証明プロバイダー一社の、信用を外したからだ。

Chrome 70は10月16日にリリースの予定だが、2016年6月よりも前に発行された、古いSymantecの証明を使ってるサイトはブロックされるようになる。それらは、Thawte, VeriSign, Equifax, GeoTrust, RapidSSLといったレガシーなブランドの証明だ。

対策を講じる時間は1年以上もあったのに、人気サイトの多くが対応を怠っている。

セキュリティ研究家のScott Helmeによると、Alexaがランク付けした上位100万のサイトのうち、1139ものサイトが、古い証明を使っている。それらは、Citrus, SSRN, Federal Bank of India(インド国立銀行), Pantone, Tel-Aviv city government(テルアビブ市庁), Squatty Potty, Penn State Federalなどなどだ。

FerrariOne IdentitySolidworksも彼のリストに載っていたが、最近新しい証明に切り替えたので今後のダウンはない。

Chromeでコンソールを表示すると、どんなWebサイトでもチェックできる(画像提供: TechCrunch)

HTTPS証明は、コンピューターとWebサイトやアプリとの間のデータを暗号化し、公開Wi-Fiホットスポットなども含めて、誰もデータを傍受できないようにする。それだけでなく、HTTPS証明はサイトの真正性の証明にもなり、ページが誰かによって書き換えられていないことを保証する。

多くのWebサイトが証明機関から証明を入手する。それらの証明機関は、一定のルールと手続きを守ることにより、長期間、Webブラウザーから信用される。

事故が起きたりしてブラウザーの信用を失うと、その機関からの証明のすべてをブラウザーは拒否する。

Googleが昨年、Symanecの証明を認めないと宣言したのも、そのためだ。Googleなど数社が、不正な証明を発行しているとしてSymantecを非難した。さらにその後Symantecが、必要な厳しい監督もせずに、信用のない機関に証明の発行をさせていたことが分かった。そのため数千のサイトが、彼らが金を払っていた証明を破り捨て、新しい証明に切り替えて、Chrome 70の期限が過ぎたときにエラーメッセージが出ないようにした。

しかし、ブラウザーは認証機関を信用しなくなるだけでなく、新しい機関を信用することもある。

たとえば無料のHTTPS証明を提供しているLet’s Encryptは今年初めから、Apple, Google, Microsoft, Mozillaなど、メジャーなブラウザーメーカーのすべてから信用されている。この非営利機関はこれまで、3億8000万あまりの証明を発行した

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

HTTPSの証明書を無料で発行するLet’s Encryptが三歳の誕生日、これまで380Mの証明書を発行

お誕生日おめでとう, Let’s Encrypt!

この無料で利用できる非営利団体は2014年に、Electronic Frontier Foundation(EFF)の主唱で創設され、Akamai, Google, Facebook, Mozillaなどの大手テクノロジー企業/団体が支援してきた。3年前の9月14日に、同団体は最初の証明書を発行した。

その後、その数は爆発的に増え、今日までに1億2900万のユニークなドメインで3億8000万あまりの証明書が発行された。それにより同団体は、世界最大の証明書発行者になった。

たとえば今や、Let’s Encryptなどが公開しているデータによれば、Firefoxのすべてのトラフィックの75%がHTTPSだ。Let’s Encryptが創設されたころは、HTTPSで暗号化されている接続の上でサーブされロードされるWebサイトのページはわずかに38%だった。

同団体のスポークスパーソンによれば、“〔HTTPSは〕信じがたいほど速くそして大きく成長してきた。それはLet’s Encryptだけの功績ではないが、うちが刺激になったことは確かだ”。

HTTPSは、Webのパイプを安全に保つ。ブラウザーがグリーンでライトアップしたり、鍵のマークが表示されるときは、あなたのコンピューターとWebサイトの接続がTLSで暗号化されている。誰もそのデータを横取りしたり、Webサイトを書き換えたりできない。

しかしそれまでは、証明の市場は破綻していて、高価で使いづらかった。そして、EFFなどによる“Web暗号化”努力の結果、Let’s Encryptによる無料のTLS証明が大衆化した。

それによりブロガーや、シングルページのWebサイトやスタートアップなどが、インストールしやすい証明書を無料で入手できるようになった。本誌TechCrunchのHTTPS接続も、Let’s Encryptを利用して安全な接続を確保している。セキュリティのエキスパートで暗号化の普及運動家であるScott HelmeとTroy Huntは先月、上位100万のWebサイトのトラフィックの半分以上が、HTTPSであることを確認した。

Let’s Encryptは、その成長とともに、AppleやGoogle、Microsoft、Oracleなどの大手インターネット企業からも、証明書発行者として信頼されるようになった

Web全体が暗号化されるのは、まだ遠い先の話だ。しかしLet’s Encryptが毎日発行する証明書は100万近くに達しているので、それも実現可能になってきたと言える。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

FirefoxやFacebookなどがインターネットの新しいセキュリティプロトコルTLS 1.3をすでにサポート

先週の金曜日(米国時間8/10)に、Internet Engineering Task Force(IETF)はTLS 1.3をリリースした。これはWebのセキュリティプロトコルTLS 1.2のメジャーアップデートで、HTTPS接続による暗号化を扱うレイヤなど多くのセキュリティ機能がこのプロトコルで定義されている。

今回のアップデートで、セキュリティが向上するとともにスピードもやや上がる。それはブラウザーとサーバーがセキュリティの設定を折衝するときに必要とされるラウンドトリップの回数を減らしたからだ。そしてMozillaの今日(米国時間8/13)の発表によると、Firefoxは現バージョンがすでにTLSの新しい規格をサポートしている。Chromeも、バージョン65から(初期のドラフトにより)新しいプロトコルをサポートしている。

TLS 1.3は策定にかなりの年月を要し、前バージョンのローンチから10年かかっている。TLS 1.2に問題があることは広く知られていたが、それらは主に実装のレベルの問題で、しかも遍在的だったためにハッカーの餌食となり、また悪名高い脆弱性バグHeartbleedのような傷口を広げた。しかしそれだけではなく、TLS 1.2のアルゴリズムの一部も、攻撃が成功されてしまった。

そこで当然ながらTLS 1.3は、現代的な暗号化方法へのアクセスにフォーカスしている(Cloudflareの連中がその技術的詳細を書いている)。

これはユーザーにとってはWebがより安全になることであり、また暗号化の方法に関するブラウザーとサーバーの折衝がはやくなるぶん、Webアクセスもややはやくなる。

TLS 1.3をすでにサポートしているFacebookは、トラフィックの半分近くが新しいプロトコルでサーブされている、という。GoogleやCloudflareも、サポート済みだ。

The messy, musical process behind the web’s new security standard

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleがWebのHTTPS化の進捗状況を報告、日本の採用率は31%から55%にアップ

安全でないHTTP接続を指摘/警告するというGoogleのセキュリティ努力は、功を奏しているようだ。同社の今日(米国時間10/20)の発表によると、Android上のChromeのトラフィックはその64%がHTTPSで保護されており、昨年の42%に比べて大幅に増加した。またChromeOSとMacは共に75%あまりのトラフィックが保護され、それぞれ昨年の67%、60%からアップした。Windowsのトラフィックでは、51%から66%へ上がった。

またアクセス数上位100のWebサイトのうち71が、デフォルトでHTTPSを使用しており、昨年の37からほぼ倍増した。

アメリカ全体では、Chrome上のHTTPSの使用は、59%から73%に上昇した。

(より詳細な図表はGoogleの透明性レポートのこのページにある。)

全体としてこれらの数字は、HTTPSへの切り替えが急速に進んだことを示している。これもHTTPを危険視するGoogleの、熱心なキャンペーン努力のおかげだろう。

パスワードやクレジットカードの情報など個人情報を求めるサイトがHTTP接続を使ってる場合、そのことをChromeブラウザー上で指摘する、とGoogleが発表したのは1年あまり前だ。その後、それはさらに広がって、個人情報に限らずユーザーが何らかの入力をするHTTPサイト、そしてChromeの匿名モードも対象になった。

“HTTPSの実装は前に比べてずっと容易かつ低コストになった。しかもそれはWebのベストパフォーマンスと、HTTPでは危険すぎてできなかった新しい機能の提供を可能にする”、と当時の発表の中でChromeのセキュリティチームのEmily Schechterが書いている

Googleによると、HTTPSの採用は世界的にも増加している。たとえば日本の大型サイトRakuten, Cookpad, Ameblo, Yahoo Japanなども最近採用した。Windows上のChromeによる計測では、日本のHTTPS採用率は31%から55%にアップした。

そのほかの国でも採用が増え、たとえばブラジルでは採用率が50%から55%に上昇した。

もちろんそれは、Googleだけの功績ではない。AppleやFacebookなどの大手テクノロジー企業も、同様の努力をしている。たとえば昨年のAppleは、iOSアプリへのインターネット接続をHTTPS接続にするようデベロッパーに強制した。またFacebookのInstant ArticlesはHTTPSでサーブされている。FacebookがHTTPSを全ユーザーのデフォルトにしたのは、2013年だ。

Googleは今日の発表で、今後はほかの方法でもHTTPSの採用をプッシュする、と言っている。それはたとえば、最近発表したGoogle App Engineのための管理を伴うSSLだ。またGoogleのトップレベルドメインは今後すべて、デフォルトではHSTS(HTTPS Strict Transport Security)で保護される〔リクエストURL中のhttpを強制的にhttpsに換える〕。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ChromeはHTTPの死を早めている…1月からHTTPSでないページに警告を表示

chrome1

2016年は、HTTPがついに死ぬ年かもしれない。

Chromeのセキュリティチームの今日(米国時間9/8)の発表によると、2017年の1月からこのブラウザーは、パスワードやクレジットカードのデータの送信にHTTPを使っているWebサイトを「危険(insecure)」とマークする。その警告はブラウザーのアドレスバーに表示され、個人情報が見られたり盗まれたりするかもしれない、とユーザーに注意を促す。

さらにその後Chromeは、ユーザーがブラウザーの“匿名”モードで見ているHTTPページにはページの上に警告を表示する。そして今後は、閲覧モードがなんであれ、すべてのHTTPページに警告を出す。

その目的は、サイトのオーナーに、安全なHTTPSへの切り替えを促すことだろう。HTTPSはデータを暗号化して送信するから、悪い人などによるページの内容の読み取りや書き換えが困難になる。ChromeのEmily Schechterが、この方針を伝えるブログ記事で次のように述べている: “HTTPSへの移行の開始を待ってはいけない。HTTPSは以前に比べて使いやすく費用も安くなっており、Webの最良パフォーマンスと、機密性があってHTTPには適さないような強力新し機能の、両方を可能にする”。

関連記事Related Articles

(日本語)Apple will require HTTPS connections for iOS apps by the end of 2016
(日本語)Google says 97% of connections to YouTube are now encrypted
TechCrunch has gone HTTPS
(日本語)Let's Encrypt free HTTPS certification push exits beta

Webサイトへの接続をより安全にしようとしているのは、Chromeを提供しているGoogleだけではない。Appleもちょっと前に、アプリのデベロッパーは2016年の終わりまでにiOSアプリの接続をすべてHTTPSにすべし、と声明した。そしてFacebookのInstant ArticlesはHTTPSでサーブされるから、出版元のWebサイトがHTTPSでなくても、読者は安全に記事を読める。こうして世界最大のテクノロジー企業が揃って圧力をかけ始めているから、HTTPSによって安全が確保されるユーザーの数が、これからは全世界的に一挙に増えるだろう。

Schechterによると、今すでにWebサイトのHTTPSへの移行は徐々に進んでいる。彼女によると、“Webのトラフィックの相当部分がすでにHTTPSへの移行を済ませていて、最近ではデスクトップのChromeでロードされるページの半分以上がHTTPSでサーブされており、変化の大きな節目に到達している”、そうだ。

来年1月になるとChromeのユーザーは、ブラウザーのアドレスバーに、こんな警告を見ることになる:

screen-shot-2016-09-08-at-9-46-28-am

そしてページ上に警告が表示されるようになると、こうなる:

screen-shot-2016-09-08-at-9-47-42-am

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

YouTubeは接続の97%がHTTPS化、とGoogleが発表…残りの3%はまだ時間がかかりそう

Old Vault Door in Bank

この春Googleは、同社のTransparency Reportに新しい章を設けて、同社のサーバーとユーザーのデバイスとのあいだのHTTPS接続の現状を明らかにした。しかしそのときはGoogle Drive, Finance, Gmail, Maps, Newsなど同社のメインのプロダクトのデータだけだった。そして今日(米国時間8/1)Googleは、YouTubeとGoogle Calendarを、その仲間に加えた

YouTubeでは今、すべての接続の97%がHTTPSであり、Calendarでは93%だ。

2016-08-01_1028

YouTubeはなにしろ大きいから、Googleが何をやるにしても簡単ではない。でも同社によると、YouTubeの膨大なトラフィックも同社自身のCDN Global Cacheにより、暗号化しても比較的容易に扱える。それは、HTTPSの中核的アルゴリズムAESにハードウェアによるアクセラレーション(加速)を適用していることが、大きく寄与している。

Googleの主張では、HTTPS接続はYouTubeのユーザー体験も改善する。今日発表された声明によると、“ユーザーはYouTubeのビデオを携帯電話やスマートTVなど、さまざまなデバイスで見る。そこでわれわれは、あらゆるデバイスでHTTPSをA/Bテストし、ユーザーにネガティブな影響が及ばないようにした。その結果、HTTPSは多くのクライアントの体験の質を良くすることが判明した。コンテンツの真正性が確証されることによって、〔粗悪コンテンツによる〕さまざまなストリーミングエラーを排除できたからだ”、ということである。

YouTubeに関しては、まだGoogleのテストから漏れたデバイスがとても多いと思われるから、上で言っていることはおそらく100%真実ではないだろう。でもGmailの場合と同じく、同社は時間をかけて安全でない接続を排除していくだろう。同社のスポークスパーソンは、それがいつになるかは明言できない、と述べた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GoogleがBlogspotのすべてのサイトでHTTPS接続をデフォルト化

fig1

Googleが今日(米国時間5/3)から、同社のBlogspotドメイン上のすべてのサイトで、HTTPS接続をデフォルトにする

GoogleがBlogpostを最初にHTTPS化したのは昨年の9月だったが、そのときはまだ、オプトインの機能だった。今日からは、暗号化接続がデフォルトで有効となる。

なお、これが適用されるのはBlogspotのブログだけで、それらはドメインが.blogspot.comだ。独自のドメイン名を使っているブログは、HTTPSにならない。

Blogspotのユーザーは、現在も意外と多くて、Alexaのグローバルなランクでは43位のサイトだ。彼らは自分のブログのユーザーを自動的に、HTTPSバージョンのブログへリダイレクトできる。

すなわちデフォルトでは、BlogspotはHTTPとHTTPSの両方を提供する。テンプレートやウィジェットの多くが、HTTPSでは正しく動作しないかもしれないからだ。HTTPSに切り替える前に、両バージョンをテストした方がよいだろう。

WordPress.comが、同社のネットワーク上のすべてのサイトでHTTPSのサポートを提供したのは2014年からで、最近はカスタムドメインもサポートしている。

独自に自分のブログをやっている人も、Let’s Encryptの証明発行事業を利用すれば、独自に運用しているサイト上で正しい証明を容易に入手でき、HTTPSを有効にできる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

HTTPSの証明を無料で発行するLet’s Encryptがベータを終了、年初には同機関自身が悪用を経験

screen-shot-2016-04-12-at-6-00-55-pm

無料のデジタル証明を提供して、より多くのWebサイトが接続を暗号化できるようにしよう、という趣旨のイニシアチブLet’s Encryptが、立ち上げから6か月を過ぎた今日(米国時間4/12)、ベータを終了した。Let’s Encryptの基本的な考え方は、リソースが乏しくて公開鍵の証明を自力でできない小さなサイトに、自動化されたサービスを提供することだ。

支援組織Internet Security Research Group(ISRG)の一員であるMozillaによると、この6か月で同機関は170万あまりの証明を発行し、およそ240万のドメインネームの、HTTPS接続の確保を助けた。最近の例では、WordPressもそんなサイトのひとつだ

暗号化された接続が数百万増えたといっても、しかしそれは、セキュアでないオンラインコンテンツの大海に落ちた水一滴にすぎない。Mozillaによると、2015年12月では、ページビューのわずか40%が暗号化され、オンライントランザクションの65%がセキュアなインターネットプロトコルであるHTTPSを使った。

ISRGに加わった企業や団体は、Mozillaのほかに、Cisco, Akamai, Electronic Frontier Foundation, IdenTrustなどだ。正規会員のほかに、Chrome、Facebookなどスポンサーも多い。

セキュアでないWeb接続にはプライバシーのリスクが当然あるだけでなく、ハッカーたちや、そのほかのタイプののぞき屋からの被害もありえる。Googleは同社のChromeブラウザーでセキュアでない接続を警告して、ユーザーがなるべくHTTPSでないWebサイトにアクセスしないようにしている。また、Webサイトの多くがセキュアな接続に移行するよう、奨励もしている。後者は、Googleの利益にもかなうことだ。

Let’s Encryptはなるべく多くのインターネット接続に鍵をかけるという、有意義な目標を掲げているが、セキュリティ企業のTrend Microが指摘したように、この機関自身も悪用に対する完全な免疫を持っていない。Trend Microが今年の初めに発見したのは、悪意ある広告主たちが‘domain shadowing’ というテクニックを使って、Let’s Encryptを利用して証明されたドメインのサブドメインを作り、そこに、銀行のトロイの木馬をホストしているサイトへのリダイレクトを挿入した、というものだ。

Trend Microはこう言っている: “善意ある技術でも、サイバー犯罪によって悪用されることがありえる。Let’s Encryptのような機関からのデジタル証明も、その例外ではない。証明を自動的に発行する証明機関が、それらのサブドメインの証明をうかつにも発行したため、サイバー犯罪を助けることになった。ドメインのオーナーはその問題に気づかず、予防もできなかった”。

“ユーザーは、‘セキュアな’サイトが必ずしも安全なサイトではないことに、留意すべきである。われわれの見解としては、悪用に対する最良の防御は、ソフトウェアをつねにアップツーデートに保って、悪用されうる脆弱性の数を最小化することである”、とTrend Microは付け加えている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GoogleのブログプラットホームBlogspotがHTTPSをサポート

blogspot-https

Googleは最近の数年間で、検索、Gmail、Google Driveなど主要サービスのほとんどすべてをHTTPSで暗号化した。今では検索結果の表示順位を決めるシグナルにもHTTPSを使っている。そして今日(米国時間9/30)からは、同社のブログプラットホームBlogspotにもHTTPSを導入した。

Googleは自社のブログにBlogspotを使っているが、今日からはOfficial Google Blog(Google公式ブログ)とGoogle Online Security Blog(セキュリティブログ)がHTTPSを用いる。そのほかも近くHTTPS化されるが、Bloggerのブログがまだなのは、なぜだろう?

Googleによると、HTTPSを使えば悪者がサイト上の作者/筆者やビジターを調べられなくなり、ビジターが“悪意ある場所”へリダイレクトされることもない。

通常のユーザに対するBlobspotのサポートは徐々に展開されるが、Googleのプラットホームでブログしているなら、今日からでもオプトインできる。

ただし、カスタムの(自前の)ドメインを使っている人には、当面適用されない。またHTTPSを有効にすると、今使っているテンプレートやガジェットの一部の機能が動作しなくなり、いろんなエラーが出る可能性もある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

WikipediaなどWikimedia FoundationのサイトがデフォルトでHTTPSを採用…政府機関による検閲などを抑止へ

wikipedia-down

【抄訳】
Wikipediaなどの重要なwikiプロジェクトをホストしているWikimedia Foundationが今朝(米国時間6/12)、今後はすべてのサイトのトラフィックをHTTPSにより暗号化する、と発表した。同団体によると、これにより各国の政府などがユーザトラフィックをモニタすることが困難になり、またISPがWikipediaなどの記事を検閲することも難しくなる。

同団体は2013年に、サイトのアカウントを持つログインユーザのトラフィックに関してはHTTPSを実装したが、そのとき、中国やイランなどトラフィックのHTTPS化が難しい国に関しては、ログインユーザに対しても従来どおりのアクセスを認めた。

しかし今日のWikimedia Foundation(WF)の報告では、同団体はHTTP Strict Transport Security(HSTS)を使用して、トラフィックをHTTPS破りから保護する、と言っている。

同団体はネットワークのインフラストラクチャの弱い国でも、レイテンシなどの問題がなるべく起こらぬよう、HTTPSの構成等に細心の配慮を講じているが、しかし事務局長のLila Tretikovが以前インタビューで語ったように、まさにこのインフラの格差という問題こそが、これまで暗号化によるユーザ保護をためらってきた原因だ。したがって実際に起きる影響を、今後も見守っていく必要がある。

今日WFが発表した談話によると、“中国ではここ数週間、中国語WikipediaはHTTPとHTTPSの両方で、多くのユーザにとってアクセス不能になっている。しかし、香港や台湾など一部の、アクセスできているユーザにとっては、HTTPSがセキュリティの向上に資すると思われる。また、中国でも英語版Wikipediaにはアクセスできるので、英語版の利用に関しては、ユーザはHTTPSのセキュリティ効果に浴することができる”、ということだ。

ユーザがトラフィックのHTTPS化をオプトアウトする方法は、2013年のときと違って提供されていないが、そのために政府等がユーザのWikipediaアクセスを妨害することがより困難になるはずだ、とWFは言っている。

また同団体は、ブラウザプラグインHTTPS EverywhereによるHTTPS化を、4年前からサポートしてきたことにも触れている。またユーザが大手の検索エンジンからリダイレクトされてWFのサイトにアクセスした場合も、HTTPSをサポートしていた。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ

理想としては、Webサイトへの接続はすべて、HTTPSによるセキュアな接続であるべきだ。そうすれば、空港やコーヒーショップなどで一般に公開されているネットワークを使っていても閲覧内容を覗き見されるおそれがない。でも現実には、小さなWebサイトの多くがこの種のセキュアな接続を提供していない。HTTPS接続に必要な公開鍵の証明を得るための手続きが、相当面倒だからだ。料金も安くない。

でも、このままでよいわけではない。もうじき、MozillaとCisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、およびミシガン大学の研究者たちが作った研究グループInternet Security Research Groupが、Webのドメインを持っている者なら誰もが無料で利用できる証明機関を創設する。サービスの供用開始は、来年の夏を予定している。

今日(米国時間11/18)、EFFは次のように述べている: “HTTPS(およびTLS/SSLのそのほかの利用)は、現状では恐ろしいほどの複雑さと、構造的に機能不全な、認証をめぐる官僚主義に支配されている”。

Let’s Encryptと呼ばれるこのプロジェクトは、証明が無料で得られるだけでなく、できるかぎりそれが容易簡単であることを目指す。どんなサイトでも、たった二つのシンプルなシェルコマンドでHTTPSを有効化できるようにする。証明の発行や取り消しはすべてパブリック(一般公開)とし、そのプロトコルをオープンスタンダードにすることによって、他の証明機関もそれを採用できるようにする。

このサービスをテストしてみたいデベロッパは、GitHubでそのコードを見られるが、それはまだ本番利用用ではないから、その警告を無視して実際に使おうとすると、大量の警告を食らった挙句に、自分のサイトすら見られない結果になるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))