無料でサーバ証明書を発行してくれるLet’s Encryptですが、有効期限は3ヶ月しか無く、そのたびにSSL証明書を更新するという手間が面倒です。
この記事では、Let’s EncryptのSSL証明書発行を自動更新する必要性とその注意点について解説します。
同時に、2021年9月以降に予想される、Let’s Encryptが発行する証明書が一部サイトでアクセスできなくなる問題についてもご紹介します。
いざその時になって慌てないための「守りのDX(デジタルトランスフォーメーション/以下:DX)」の一環として、この機会に知識として身につけておいてください。
守りのDXとは?
自社でコントロールすることのできる革新的なテーマを指し、その内容には「業務処理の効率化・省力化」や「業務プロセスの抜本的改革・再設計」「経営データ可視化によるスピード経営・適格な意思決定」などが分類されます。(引用:株式会社NTTデータ経営研究所/「日本企業のデジタル化への取り組みに関するアンケート調査」結果速報~日本企業のDXへの取り組み実態、成功企業の特徴について~)
SSL化によるセキュリティ対策などもこれに分類される。
目次
無料でSSL証明書が発行できる【Let’s Encrypt】
Googleがインターネットの安全性向上のために、同社のWebブラウザ「Chrome」でSSL化(HTTPS化)されていないサイトに警告を出すようになってから久しく、Webサイトの常時SSL化は時代の流れとなっています。
しかし、サイトの常時SSL化を行うには通常多額の費用がかかるため、対策に二の足を踏んでいる企業も多いかもしれません。
そんな時に力強い味方になってくれるのが、無料でSSL証明書が発行できるLet’s Encryptです。
Let’s Encryptとは
Let’s Encrypt(https://letsencrypt.org/)は、米国ISRG (Internet Security Research Group)によって運営される、HTTPSの普及を目指して設立された機関で、Webサーバー向けSSL/TLS証明書を無料で発行している認証局(ネットワーク上で暗号化や本人認証などを利用する際に使用される鍵の正当性を保証する電子証明書を発行する第三者機関)です。
2021年2月27日(米国時間)の時点で、証明書の発行数が10億件に達したことが明らかにされたように、現在世界でもっとも多くのシェアを持っています。
Let’s Encryptのデメリット
Let’s Encrypt最大のデメリットは、何よりもその証明書の有効期限が他の証明書と比べ短いということです。
一般的なSSLサーバ証明書の有効期限が最大397日(約1年1ヶ月/2020年9月時点)であるのに対し、Let’s Encryptが発行する証明書の有効期限は、90日間と著しく短いため、頻繁に更新をしなければなりません。
ただし、セキュリティを重視する時代の流れの中で、SSL証明書の有効期限は短縮傾向にあります。
SSL証明書の仕様を決める、GoogleやMozillaなどのブラウザ開発ベンダーと、DigiCertやSectigoなどの認証局が参加する会議体「CA/Browserフォーラム」では、今後も証明書の有効期限を段階的に短縮していく施策が検討されており、有効期限90日というのはデジタルトレンドとなるでしょう。
つまり、現在Let’s Encryptが抱える最大のデメリットは、いずれデメリットとは言えなくなる可能性もあり、ますますシェアを拡大していく可能性も考えられます。
Let’s Encryptのメリット
では、逆にLet’s Encryptのメリットとは何なのでしょう。
それは経済面と安全面の2つの側面から考えることができます。
SSLサーバ証明書を無料で発行できる
Let’s Encryptの最大のメリットはその経済性です。SSLサーバの証明書発行には数千円~数十万円の費用がかかることも少なくありませんが、Let’s Encryptはそれが無料で発行できます。
これはLet’s Encryptの運営法人ISRGが公益法人として認められており、資金や利益を株主や社員に配分することなく、公益目的の無料SSLサーバ証明書の発行に使えることにより実現しています。
また、Google(Chrome)、Amazon(aws)、Facebookなど世界を股にかける大手企業がスポンサーについていることも要因の1つです。
バージョンや情報が常に最新に維持できる
Let’s Encryptは、現時点においては他のSSLサーバ証明書と比べると格段に短い90日というスパンで更新しなければなりません。
しかし、これは裏を返せば、Let’s Encryptは頻繁に情報更新やバージョンのアップデートが行われているということでもあります。
有効期限が短い分、問題への対応も短いスパンで行われるということであり、セキュリティの面から考えた場合はむしろ安心・安全だということができるでしょう。
リスクを最小限に減らすことができる
Let’s Encryptの登録は、1~2個のコマンド入力だけで完結するスピーディ対応であり、その点も魅力の1つです。
これは万が一のトラブルの場合でも、情報漏洩の被害を最小限に抑えられるということでもあります。
認証手続きが複雑で有効期限も長い証明証の場合、こうした万が一の対応に手間がかかってしまうことも多く、即座に証明書を入れ替えることのできることはLet’s Encryptの大きなアドバンテージということも出来るでしょう。
また、世界を股にかける巨大グローバル企業がスポンサーについている公営法人ということは、企業として倒産などのリスクが極めて低いということを意味します。
経営母体が盤石の体制であるため、将来的に突然のサポート終了などの危険性が少ないと考えられます。
Let’s Encryptを自動更新設定する必要性
Let’s Encryptに限らず、この先SSL証明書の有効期限が90日に限定されていくと、多くの弊害をもたらすことも懸念されます。
もっとも注意すべき問題は「更新を忘れてしまう」ことです。
更新を忘れ有効期限が切れてしまうと、SSL証明書自体を失効してしまいます。
証明書が失効すると、Webブラウザでサイトの閲覧ができなくなり、企業としては大きな機会損失につながります。
仮にスケジューラーなどで期日を管理し、更新忘れを防げたとしても、年に4回も手動で更新しなければならないのであれば、担当者にとってはとてつもない手間となります。
企業によってはそのたびに稟議書や部署の承認手続きまで必要なケースもあり、無駄なことこの上ありません。
こうした問題を解決する方法が、自動更新手続きです。短いスパンで更新作業を行わなければならないLet’s Encryptを使用する上で、必ず対策しておくべきポイントです。
ただし、その設定にはある程度のプログラミングの知識が必要です。さらに、Let’s Encryptは米国企業であるため、情報のほとんどが英語表記となります。そのため、自社に専門のエンジニアがいない場合などは、取引のある外部ベンダーなどに依頼することをおすすめします。
Let’s Encryptを利用する際の注意点
SSL証明書の更新は自社でサーバを用意する場合に生じる問題であり、既存のレンタルサーバを利用する場合は、サーバ側でSSL証明書の発行・更新作業を行ってくれることが多いです。
その場合、ユーザー側はサーバに独自ドメインを登録する際の手続き以外、特に何も行う必要はありません。
しかし、Let’s Encryptを利用していない場合でも、Let’s Encryptに関して今後発生するであろう事柄には、注意が必要です。
Androidスマホは要注意
Let’s Encryptが発行するルート証明書は、「ISRG Root X1」を利用した中間CA証明書と、IdenTrustが発行する「DST Root X3」を利用し、クロス署名した証明書を使用してきました。
しかし、後者については2021年9月1日に期限切れとなり、前者に一本化することがLet’s Encryptより2020年11月6日に発表されています。
近年の新しいOSを搭載するデバイスでは、既にほとんどの機種で前者の証明書がインストールされているため、デバイスユーザーがなにか対処しなければならないことはありません。
ただし、Android端末のうち7.1.1未満の古い機種においては、対応する証明書がインストールされておらず、OSのアップデートなどを行わなければサイトを表示することができなくなってしまいます。
それに加えて、古い機種の中にはアップデートそのものが提供されていないものの多く、スマートフォンを切り替えるという習慣のないエンドユーザーの場合、「理由も分からず目的のサイトが見られなくなった」ということになりかねません。
こうした問題を未然に防ぐために、自社のシステムを見直すだけでなく、ユーザーサイドの環境にまで目を向けることが、真の意味での「守りのDX」であることは間違い無いのです。
まとめ
無料でSSL証明書を発行できるLet’s Encryptの持つ利点と、弱点を克服する自動更新の必要性。さらには近々訪れるであろう、Let’s Encryptに絡む世界的な問題について解説しました。
DXを推進する中で気にしなければならないのは、自社の業務効率化や業績拡大ばかりではなく、本当の意味でユーザーサイドに立った「使いやすい」商品やサービスの提供です。
「守りのDX」の一環としてインターネットのセキュリティを見直すの際には、ぜひ一度エンドユーザー事情の見直しも行ってみてください。
参考サイト:さくらのSSL(SAKURA internet)
併せて使いたい!SSLチェッカーとは
SSL化が行えているかどうかを、手軽に確かめる方法として株式会社MUが独自開発したSSL化判定ツール【SSLチェッカー】です。このツールを使えば、自社のWebサイトがSSL化できているかを無料で診断することができます。
まずは、SSLチェッカーを用いて無料SSL化診断を行い、Webサイトの現状を確認してみてはいかがでしょうか。
診断を行うことで、自社で対応することができる場合は自社で対応し、手に負えそうになければベンダーを探す(株式会社MUでも対策は可能です)など、状況に応じた対策を行うことが可能になります。