理想としては、Webサイトへの接続はすべて、HTTPSによるセキュアな接続であるべきだ。そうすれば、空港やコーヒーショップなどで一般に公開されているネットワークを使っていても閲覧内容を覗き見されるおそれがない。でも現実には、小さなWebサイトの多くがこの種のセキュアな接続を提供していない。HTTPS接続に必要な公開鍵の証明を得るための手続きが、相当面倒だからだ。料金も安くない。
でも、このままでよいわけではない。もうじき、MozillaとCisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、およびミシガン大学の研究者たちが作った研究グループInternet Security Research Groupが、Webのドメインを持っている者なら誰もが無料で利用できる証明機関を創設する。サービスの供用開始は、来年の夏を予定している。
今日(米国時間11/18)、EFFは次のように述べている: “HTTPS(およびTLS/SSLのそのほかの利用)は、現状では恐ろしいほどの複雑さと、構造的に機能不全な、認証をめぐる官僚主義に支配されている”。
Let’s Encryptと呼ばれるこのプロジェクトは、証明が無料で得られるだけでなく、できるかぎりそれが容易簡単であることを目指す。どんなサイトでも、たった二つのシンプルなシェルコマンドでHTTPSを有効化できるようにする。証明の発行や取り消しはすべてパブリック(一般公開)とし、そのプロトコルをオープンスタンダードにすることによって、他の証明機関もそれを採用できるようにする。
このサービスをテストしてみたいデベロッパは、GitHubでそのコードを見られるが、それはまだ本番利用用ではないから、その警告を無視して実際に使おうとすると、大量の警告を食らった挙句に、自分のサイトすら見られない結果になるだろう。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))