shutterstock
いつの間にか「HTTPS」で始まるURLが増えたワケ
割りと大きな問題なのだが、世間ではあまり話題にならないことがある。今回は、そんな
Let’s Encrypt の問題について書く。 ネットを昔から利用している人は気づいているかもしれないが、普段見ているWebページのURLの多くが、いつのまにか
http から https に変わった。 まず、
http だが、
HyperText Transfer Protocol(ハイパーテキストの転送通信規約)の略である。ハイパーテキストとは、ざっくりと言うとWebページのようなリンクを持った文書だ。http でデータをやり取りしますよ、というのが http で始まるURLだ。
HTTPS は、
Hypertext Transfer Protocol Secure の略である。HTTP に
Secure(安全)が加わったものだ。HTTPS は、HTTP をより安全にするために登場した。HTTPS は、
通信内容を暗号化して、盗聴を防ぐ仕組みを持っている。こうした仕組みがなければ、無料Wi-Fiを利用してログインしたらIDとパスワードが盗まれた、ということが頻繁に起きてしまう。 情報を暗号化するときは、その状態を解除して元に戻す復号も必要になる。その暗号化と復号の方法として HTTPS ではデジタル証明書(公開鍵証明書)を利用している。この証明書は、認証局に証明してもらったものだ。 HTTP から HTTPS に移行するとき、デジタル証明書を導入して維持するためのお金が必要になった。お金がかかるなら HTTP でいいやとなるWebサイトが多そうだが、多くのWebサイトが HTTPS に対応した。理由は、
Google による常時SSL化の要求である。 2014年にGoogleは、検索結果で HTTPS サイトを優遇することを発表した(参照:
Google)。2017年には、ユーザーが入力をおこなう HTTP のページに、警告を出すようになった(参照:
Google)。そして2018年には、全ての HTTP サイトを安全でないとマークするようになった(参照:
Chromium Blog)。
無料でHTTPSが利用できるLet’s Encrypt
こうした流れがあり、ユーザーが入力などしない、ただ情報を表示するだけのサイトも、
渋々 https に移行した。渋々というのは、私個人の感想だが、そう書く根拠はある。 国内シェア50%達成をうたっているGMOグローバルサインの価格表を見てみよう(参照:
GMOグローバルサイン)。「おすすめ 企業認証SSL」は、1年契約で59,800円。「緑のアドレスバーに組織名 EV SSL」は、1年契約で128,000円。「人気No.1 クイック認証SSL」は、1年契約で34,800円。Webサイトの公開を仕事にしているなら高い値段ではないが、何となくWebサイトを公開している人や会社にとっては、それなりの出費になる。 この問題を解決してくれたのが冒頭で名前が出てきた 「
Let’s Encrypt」だ。なんと、無料でサーバー証明書を発行してくれる。証明書が有効な期間は90日と短いが、60日ごとに自動更新することを推奨してくれているので、プログラムで自動更新させれば問題ない。安くWebサイトを運営している人間にとっては、救世主のようなサービスだ(参照:
JPNIC)。 Let’s Encrypt は、2016年の4月に正式運用を開始した。運営しているのは、HTTPS の普及を目的としたは
ISRG(Internet Security Research Group)という団体だ。2019年の時点で、2億2千5百万のサイトに証明書を提供している。 このように多くのWebサイトが利用している Let’s Encrypt の証明書だが、
2021年の9月以降、Android 7.1以前の端末で使えなくなるという問題が発生している(参照:
おそらくはそれさえも平凡な日々、
さくらのSSL)。どうして、そうしたことが起きているのだろうか。
