企業がWebサイトを運営するにあたっては、セキュリティ対策は欠かせません。
中でも、サイトのSSL(Secure Sockets Layer)/TLS(Transport Layer Security)化は今や常識です。
Let’s Encrypt、SSL化を無料で手早く行ってくれるサービスで、全世界で10億件以上のサイトが利用しています。
しかし、サイトによっては2021年9月30日以降、Let’s Encryptが動かなくなってしまう可能性があるのはご存知ですか?
この記事では、Let’s Encryptが動かなくなる前に行うべき備えをご紹介するとともに、そもそも「なぜSSL証明書が必要なのか」や「無料SSL証明書にはどんな落とし穴があるのか」など、DX(デジタルトランスフォーメーション/以下:DX)を語る上で外すことのできない、インターネットのセキュリティ問題を解説いたします。
目次
Let’s Encrypt(レッツエンクリプト)が動かない!となる前に
Let’s Encrypt(https://letsencrypt.org/)とは、HTTPSの普及を目指して設立され、米国のISRG (Internet Security Research Group)によって運営される、Webサーバー向けSSL/TLS証明書を無料で発行している認証局(ネットワーク上で暗号化や本人認証などを利用する際に使用される鍵の正当性を保証する電子証明書を発行する第三者機関)です。
Let’s Encrypt は、すべて無料なSSL証明書の発行サービスなので、非常に多くのサイトが利用しています。それが動かなくなるということは、ちょっとショッキングな話ではないでしょうか。
2021年9月30日にLet’s Encryptのルート証明書が終了する
Let’s Encryptを運営する非営利団体ISRG(Internet Security Research Group)は、2014年に設立された比較的新しい認証局です。
設立当時は、ISRG発行のルート証明書がインストールされていない端末が多かったため、別の認証局が発行する「DST Root X3」というルート証明書を利用し、クロス署名された中間CA(Certification Authority)証明書を利用してきました。
その後、自社のルート証明書である「ISRG Root X1」のインストールが広まり、現在はその両方が利用可能な形で運営されてきました。
しかし、ISRGから古い「DST Root X3」のルート証明書は2021年9月30日で終了するという発表がなされました。
これにより古いバージョンのルート証明書しかインストールされていないブラウザでは、エラーが表示されサイトにアクセスすることができなくなってしまいます。
Let’s Encryptの古いルート証明書終了に対する備え
このようなエラーに対してはどのような備えがなの必要でしょうか。Let’s Encryptが動かなくなった場合でも、独自のルート証明書群を利用しているFirefoxブラウザをインストールすることで、対処することはできます。
しかし、古いAndroid端末やゲーム機などにはFirefoxブラウザをインストールすることができないため、端末そのものを買い換える以外に対処方法がありません。そのため、古いスマートフォンを利用していることの多い高齢者層をエンドユーザーに持つ業界は、特に注意が必要です。適切な備えをしないと、古い端末を利用しているエンドユーザーがサイトにアクセスできなくなってしまう危険性があります。
なぜSSL証明書が必要なのか
ところで、なぜSSL証明書が必要なのでしょう。
それは、サーバー証明書には「暗号化」と「サイト運営者の認証」という2つの役割があり、それによって主に次の3つの危険性を回避しているためです。
1.データの盗聴を防ぐ
オンラインショッピングで入力するクレジットカードの番号など、Web上を行き交う重要情報を不正入手することを防ぐこと。これがデータをSSL化する大きな理由の1つで、重要情報や個人情報の流出だけでなく、企業においては社外秘の機密情報や顧客データの流出を防ぐ大切な役割を持っています。
2.なりすましを防ぐ
WebサイトがSSL化されていない場合、不特定多数の誰かが簡単にその情報にアクセスし、サイトの運営者になりすまして顧客データなどにアクセスすることが可能となってしまいます。
悪質なハッカーなどが企業の運営者になりすまして顧客に接触し、不正に金銭を得たり顧客情報を抜き出したりすることを防ぐためにも、サイトのSSL化は必要なのです。
3.データの改ざんを防ぐ
SSL化されていないサイトに悪意ある第三者がアクセスしてしまえば、行き交うデータに侵入し、データを改ざんすることも容易に行えてしまいます。
そうなれば顧客の信頼を失ったり、大きな金銭的損害を被ったりする可能性もあります。つまり、SSL化は現代のサイト運営では欠かすことのできないセキュリティ対策なのです。
無料SSL証明書の落とし穴
企業認証型(EVタイプ)のSSL証明書を利用してサイトをSSL化するためは、年間で数万円から数十万円といった費用がかかります。
しかし、ドメイン認証型の無料SSL証明書を利用することにより、そのサイトの運営費用を大幅に抑えることができるため、多くの個人、または企業が無料SSLを利用しています。その最大手がLet’s Encryptです。
しかし、無料SSL証明書には無料であるがゆえの落とし穴もいくつか存在します。
類似ドメインで詐欺に利用される危険性
通常の有料サービスの場合、実態のない企業などには証明書を発行させないよう、証明書申請者の身元確認はしっかりと行われます。
しかし、Let’s Encryptなどの無料サービスの場合は、Webからの申請のみで簡単に取得することができてしまうというのが現状です。
極端な話、有名なサイトとアルファベット1文字だけ変えたドメインでも簡単に申請が通ってしまう可能性があるため、フィッシングサイトなどの詐欺に利用される危険性を常にはらんでいます。
企業や機関はサイトイメージに注意
必ずしもそれが原因と断じることはできないものの、フィッシングサイトの大多数がLet’s Encryptで証明書を取得したサイトだと指摘する声もあるようです。
そのため、一部の専門家や企業のIT担当者からは、個人のサイトならばともかく、企業のサイトでLet’s Encryptをはじめとした無料サーバー証明書を利用しているサイトは信用ができないといった、悪い評判が流れていると言ってもオーバーではありません。
サポートがない
Let’s Encryptをはじめ無料SSL化サービスのほとんどは、手厚いサポート体制などはありません。代わりに、ライセンス更新時などに利用者が困らないよう、自動更新のサービスを導入しているケースがほとんどです。
しかし、今回のLet’s Encryptの古いルート証明書終了など、イレギュラーな事態に対しても的確なアンテナを張っていないと、突然サイトが動かなくなってて慌てるといった事態に陥りかねません。
まとめ
今回は、2021年9月30日に予定されているLet’s Encryptのルート証明書が利用できなくなる件について解説しました。
併せて解説した無料SSL化サービスの実態と注意点と合わせ、今一度DX推進の一環として自社のサイトセキュリティを見直すきっかけとしていただければ幸いです。
併せて使いたい!SSLチェッカーとは
SSL化が行えているかどうかを、手軽に確かめる方法として株式会社MUが独自開発したSSL化判定ツール【SSLチェッカー】です。このツールを使えば、自社のWebサイトがSSL化できているかを無料で診断することができます。
まずは、SSLチェッカーを用いて無料SSL化診断を行い、Webサイトの現状を確認してみてはいかがでしょうか。
診断を行うことで、自社で対応することができる場合は自社で対応し、手に負えそうになければベンダーを探す(株式会社MUでも対策は可能です)など、状況に応じた対策を行うことが可能になります。