何が問題か?
- インターネットでのHTTPSの利用はまだまだ不十分
- いずれの2つの数字も100%であるべき
セキュリティの重要性
- 機密性: あなたか何をしているかを 誰かに除かれることを防ぎます
- プライバシー: 追跡可能なCookieの挿入を防ぎます
- 完全性: 広告が挿入されるのを防ぎます
- 真正性: 本物のWebサイトに確実に接続されていることを確認し、part of a DDoS攻撃に荷担しないようにします
... しかし証明書を入手することは簡単ではない
- 証明書プロバイダー毎に異なる自動化されていないプロセス
- 最初に証明書発行を申し込まなければならず...
- ... そしてその後どうやってインストールするか調べないといけない
- すべてを自動で行いたくないですか
新しい証明機関
- 無料で
- 自動化された
- 透明性が確保され
- オープンで
- 協調的な
自動化された証明機関
- 証明書を発行する際の大部分のタスクはドメインの検証です
- Let's Encryptはドメインの検証を自動的に行う標準プロトコルを使います
Automated Certificate Management Environment (ACME)
- もし誰かがexample.comの証明書を要求したとして、
- どうやってexample.comを実際に所有しているか確認したらよいでしょう?
ドメインの検証
ドメインの所有者のみ可能な以下の方法を使って検証します:
- DNSレコードを設定する
_acme-challenge.example.com - ファイルを設定する
http://example.com/.well-known/acme-challenge/ - example.com上にTLSサーバを構築する
自動検証
- すべてのプロセスはACME標準に記載されています。
- どうやって委任を設定するか
- どうやって検証するか
- どうやって証明書を要求するか
- 標準プロトコルを使うと言うことは自分でツールを作ることが出来ることを意味します。
- ACMEのビジョンはWebサーバに組み込まれ、HTTPSを自動構成することです
透明性のあるCA
すべての証明書の発行ログはCertificate Transparencyシステムを通じてすべて誰でもアクセス可能です。
オープンなCA
Let's Encryptが使ってるすべてのツール・ソフトウェアはオープンソース:
- 証明機関のためのソフトウェア
- 証明書を取得するためのソフトウェア
- このプレゼンテーションもオープンソースです
Pull requestをお待ちしています
協調的なCA
- Let's Encryptで使用しているACMEプロトコルはIETFで標準化されています。 つまり、すべてのCAで利用することが出来ます。
- ユーザサポートもすべてオープンなコミュニティシステムで行われいます。
まだ始まったばかりです...
