Chrome 70ではHTTPS証明の不具合をめぐって数百もの人気サイトがアクセス不能になる

Google Chromeの次のバージョン(v70)では、多くの安全なサイトがエラーメッセージを表示して停止する。それはこのブラウザーが、一連のセキュリティ事故のあと、メジャーなHTTPS証明プロバイダー一社の、信用を外したからだ。

Chrome 70は10月16日にリリースの予定だが、2016年6月よりも前に発行された、古いSymantecの証明を使ってるサイトはブロックされるようになる。それらは、Thawte, VeriSign, Equifax, GeoTrust, RapidSSLといったレガシーなブランドの証明だ。

対策を講じる時間は1年以上もあったのに、人気サイトの多くが対応を怠っている。

セキュリティ研究家のScott Helmeによると、Alexaがランク付けした上位100万のサイトのうち、1139ものサイトが、古い証明を使っている。それらは、Citrus, SSRN, Federal Bank of India(インド国立銀行), Pantone, Tel-Aviv city government(テルアビブ市庁), Squatty Potty, Penn State Federalなどなどだ。

FerrariOne IdentitySolidworksも彼のリストに載っていたが、最近新しい証明に切り替えたので今後のダウンはない。

Chromeでコンソールを表示すると、どんなWebサイトでもチェックできる(画像提供: TechCrunch)

HTTPS証明は、コンピューターとWebサイトやアプリとの間のデータを暗号化し、公開Wi-Fiホットスポットなども含めて、誰もデータを傍受できないようにする。それだけでなく、HTTPS証明はサイトの真正性の証明にもなり、ページが誰かによって書き換えられていないことを保証する。

多くのWebサイトが証明機関から証明を入手する。それらの証明機関は、一定のルールと手続きを守ることにより、長期間、Webブラウザーから信用される。

事故が起きたりしてブラウザーの信用を失うと、その機関からの証明のすべてをブラウザーは拒否する。

Googleが昨年、Symanecの証明を認めないと宣言したのも、そのためだ。Googleなど数社が、不正な証明を発行しているとしてSymantecを非難した。さらにその後Symantecが、必要な厳しい監督もせずに、信用のない機関に証明の発行をさせていたことが分かった。そのため数千のサイトが、彼らが金を払っていた証明を破り捨て、新しい証明に切り替えて、Chrome 70の期限が過ぎたときにエラーメッセージが出ないようにした。

しかし、ブラウザーは認証機関を信用しなくなるだけでなく、新しい機関を信用することもある。

たとえば無料のHTTPS証明を提供しているLet’s Encryptは今年初めから、Apple, Google, Microsoft, Mozillaなど、メジャーなブラウザーメーカーのすべてから信用されている。この非営利機関はこれまで、3億8000万あまりの証明を発行した

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

HTTPSの証明書を無料で発行するLet’s Encryptが三歳の誕生日、これまで380Mの証明書を発行

お誕生日おめでとう, Let’s Encrypt!

この無料で利用できる非営利団体は2014年に、Electronic Frontier Foundation(EFF)の主唱で創設され、Akamai, Google, Facebook, Mozillaなどの大手テクノロジー企業/団体が支援してきた。3年前の9月14日に、同団体は最初の証明書を発行した。

その後、その数は爆発的に増え、今日までに1億2900万のユニークなドメインで3億8000万あまりの証明書が発行された。それにより同団体は、世界最大の証明書発行者になった。

たとえば今や、Let’s Encryptなどが公開しているデータによれば、Firefoxのすべてのトラフィックの75%がHTTPSだ。Let’s Encryptが創設されたころは、HTTPSで暗号化されている接続の上でサーブされロードされるWebサイトのページはわずかに38%だった。

同団体のスポークスパーソンによれば、“〔HTTPSは〕信じがたいほど速くそして大きく成長してきた。それはLet’s Encryptだけの功績ではないが、うちが刺激になったことは確かだ”。

HTTPSは、Webのパイプを安全に保つ。ブラウザーがグリーンでライトアップしたり、鍵のマークが表示されるときは、あなたのコンピューターとWebサイトの接続がTLSで暗号化されている。誰もそのデータを横取りしたり、Webサイトを書き換えたりできない。

しかしそれまでは、証明の市場は破綻していて、高価で使いづらかった。そして、EFFなどによる“Web暗号化”努力の結果、Let’s Encryptによる無料のTLS証明が大衆化した。

それによりブロガーや、シングルページのWebサイトやスタートアップなどが、インストールしやすい証明書を無料で入手できるようになった。本誌TechCrunchのHTTPS接続も、Let’s Encryptを利用して安全な接続を確保している。セキュリティのエキスパートで暗号化の普及運動家であるScott HelmeとTroy Huntは先月、上位100万のWebサイトのトラフィックの半分以上が、HTTPSであることを確認した。

Let’s Encryptは、その成長とともに、AppleやGoogle、Microsoft、Oracleなどの大手インターネット企業からも、証明書発行者として信頼されるようになった

Web全体が暗号化されるのは、まだ遠い先の話だ。しかしLet’s Encryptが毎日発行する証明書は100万近くに達しているので、それも実現可能になってきたと言える。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

HTTPSの証明を無料で発行するLet’s Encryptがベータを終了、年初には同機関自身が悪用を経験

screen-shot-2016-04-12-at-6-00-55-pm

無料のデジタル証明を提供して、より多くのWebサイトが接続を暗号化できるようにしよう、という趣旨のイニシアチブLet’s Encryptが、立ち上げから6か月を過ぎた今日(米国時間4/12)、ベータを終了した。Let’s Encryptの基本的な考え方は、リソースが乏しくて公開鍵の証明を自力でできない小さなサイトに、自動化されたサービスを提供することだ。

支援組織Internet Security Research Group(ISRG)の一員であるMozillaによると、この6か月で同機関は170万あまりの証明を発行し、およそ240万のドメインネームの、HTTPS接続の確保を助けた。最近の例では、WordPressもそんなサイトのひとつだ

暗号化された接続が数百万増えたといっても、しかしそれは、セキュアでないオンラインコンテンツの大海に落ちた水一滴にすぎない。Mozillaによると、2015年12月では、ページビューのわずか40%が暗号化され、オンライントランザクションの65%がセキュアなインターネットプロトコルであるHTTPSを使った。

ISRGに加わった企業や団体は、Mozillaのほかに、Cisco, Akamai, Electronic Frontier Foundation, IdenTrustなどだ。正規会員のほかに、Chrome、Facebookなどスポンサーも多い。

セキュアでないWeb接続にはプライバシーのリスクが当然あるだけでなく、ハッカーたちや、そのほかのタイプののぞき屋からの被害もありえる。Googleは同社のChromeブラウザーでセキュアでない接続を警告して、ユーザーがなるべくHTTPSでないWebサイトにアクセスしないようにしている。また、Webサイトの多くがセキュアな接続に移行するよう、奨励もしている。後者は、Googleの利益にもかなうことだ。

Let’s Encryptはなるべく多くのインターネット接続に鍵をかけるという、有意義な目標を掲げているが、セキュリティ企業のTrend Microが指摘したように、この機関自身も悪用に対する完全な免疫を持っていない。Trend Microが今年の初めに発見したのは、悪意ある広告主たちが‘domain shadowing’ というテクニックを使って、Let’s Encryptを利用して証明されたドメインのサブドメインを作り、そこに、銀行のトロイの木馬をホストしているサイトへのリダイレクトを挿入した、というものだ。

Trend Microはこう言っている: “善意ある技術でも、サイバー犯罪によって悪用されることがありえる。Let’s Encryptのような機関からのデジタル証明も、その例外ではない。証明を自動的に発行する証明機関が、それらのサブドメインの証明をうかつにも発行したため、サイバー犯罪を助けることになった。ドメインのオーナーはその問題に気づかず、予防もできなかった”。

“ユーザーは、‘セキュアな’サイトが必ずしも安全なサイトではないことに、留意すべきである。われわれの見解としては、悪用に対する最良の防御は、ソフトウェアをつねにアップツーデートに保って、悪用されうる脆弱性の数を最小化することである”、とTrend Microは付け加えている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

WordPress.comが傘下のすべてのWebサイトをHTTPSで暗号化へ

lock-e1459872159904

WordPress.comが、そのすべてのブログにHTTPSをサポートする。あなたのWordPressブログがカスタムドメインであっても、あるいはwordpress.comドメイン(たとえば:bestcrabrestaurantsinportland.wordpress.com)であっても、同じ扱いになる。

FacebookやTwitterのようなソーシャルサービスは、その多くがかなり前からHTTPSをサポートしているが、WordPress.comはカスタムドメインに関しては遅れていた。

2014年から、WordPress.comのサブドメインはHTTPSをサポートしたが、ほかはまだだった。しかし何かのスイッチを入れるように簡単にカスタムドメインに切り替えることはできない。証明が必要だから。

しかしLet’s Encryptプロジェクトのおかげで、WebのどこでもHTTPSを実装することが安く簡単にできるようになった。WordPress.comも、これを利用しようとしている。これからは各WebサイトがSSLの証明を持ち、URL欄にはグリーンの鍵が表示されるようになる。〔この鍵をクリックするとSSL認証に関連したいろんな情報が表示される。〕

嬉しい副作用として、GoogleはHTTPだけのWebサイトよりもをHTTPSをサポートしているサイトの方を優遇する。WordPress.comのWebサイトも、Googleの検索結果でランクが上がるだろう。

今、あなたの頭の中には、でっかいクエスチョンマークがあるだろう。HTTPSを有効にするには、何をする必要があるのか? 昼間の主婦向けトーク番組ふうに言えば、WordPress.comがすべてのWebサイトでHTTPSを有効にするから、あなたは何もしないでよい。あなたはSSLの証明をもらう! 誰もがSSLの証明をもらうのだ!

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))