BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース CloudFlareがUniversal SSLで無償のWebセキュリティを提供へ

CloudFlareがUniversal SSLで無償のWebセキュリティを提供へ

ブックマーク

原文(投稿日:2014/10/08)へのリンク

CloudFlareは,同社コンテンツ配信ネットワーク(CDN)の無料登録者すべてを対象に,Universal SSLによるSSLを提供する。この動きは,SSLの展開を望むwebサイトとアプリケーションの所有者がこれまで直面してきた,コストと複雑さという2つの問題に対処するものだ。エンドユーザへの証明書の発行は,CloudFlareが無償で実施する。SSLの有効化は,ドロップダウンメニューによる選択になる。

Secure Socket Layer (SSL),あるいは,より新しいTransport Layer Security (TLS)はこれまで,CDNなどのWebベースサービスにおいては特別なサービスであった。これは,SSLには専用のIPv4アドレスと,認証局(CA)による証明書の発行を必要とするためだ。さらに,セキュアなセッションで使用する暗号処理を実行するため,ホストするインフラストラクチャへの処理オーバーヘッドも大きくなる。CloudFlareではHTTPS URLに,HTTP URLと同じ方法で仮想ホスト可能なサーバ名表示(SNI)を使用することで,これら問題のいくつかを回避している。SNIの問題点は,それをサポートするのがFirefox2やChrome 6,Internet Explorer(IE) 7 (Windows Vista上)など,比較的新しい(非常に相対的な表現だが)ブラウザに限られていることにある。Windows XPのIEではサポートされない。全世界で使用されているブラウザの90%以上は,SNIを処理可能だ。

有効になれば,証明書の発行から約24時間,Universal SSLを多数の異なるモードで使用することができるようになる。Flexible SSLで暗号化されるのはブラウザとCloudFlare間の通信のみである。webサーバ移行の接続には脆弱性や盗聴の可能性が残るものの,Webサーバの再設定を必要としない,もっとも単純な方法である。完全なSSLを行うには,CloudFlareからの通信データを暗号化するために,webサーバに証明書をインストールする必要がある。ただし,毎年更新する必要はあるが,自由に生成可能な自己書名証明書を使用することも可能だ。とは言え,完全な(strict)SSLには,有効な(CAが発行した)証明書をwebサーバに用意しなければならないし,Universal SSLが登場する以前と,SSLを実装する複雑さ(あるいは潜在的コスト)という点ではまったく同じだ (それでもキャッシングやGPOP(global point of presence),DDOS(distributed denial of service)軽減といった,CDNを利用することによるメリットはある)。

CloudFlareは,Universal SSLの証明書発行のために,ComodoおよびGlobalsignと提携している。各サイトの証明書は,sni12345.cloudflaressl.comという形式で発行される。12345の部分に,CloudFlare利用者固有の番号が振られる。その証明書には,*.subscriber.comあるいはsubscriver.comというSAN(Subject Alternative Name)が設定される。複数の加入者が同じグループに参加しているので,有効なSANには,ある程度ランダムなリストが用意されている。無償のワイルドカード証明書が利用可能になったことは,サブドメインに固有の証明書(www.mydomain.comとmydomain.comは可能だが,*.mydomain.comは不可)しか発行できなかったStartSSLのような,以前の無償CAサービスに対する改善だ。StartSSLのようなCAをCloudFlareのUniversal SSLと併用して,完全な(strict) SSLレベルのエンド・ツー・エンドの暗号化を実現できることは注目に値する。

Universal SSLが提供するもうひとつのサービスはSPDYプロトコルである。これは個別のネットワーク通信を必要とするオブジェクトをひとつにまとめることで,ブラウザとCDNの間のネットワークトラフィックを最適化するものだ。CloudFlareのJohn Graham-Cumming氏はこれを,’Universal SSLのちょっとしたおまけ'だと説明している。

ユーザの観点から見たUniversal SSLは,CloudFlareが同じく先日ローンチしたKeyless SSLを使用した場合とは,まさに正反対の位置にある。この両極端の間に,自社の証明書をもっとコントロールしたい企業(Extended Validationなど)や,あるいはもっと古いブラウザでも動作する必要のある企業のためのサブスクリプション階層が用意されている。CloudFlareは最初,DDOS低減サービスとしてスタートした(アクシデント用CDNと説明されたこともある)が,その過程においては無償ユーザが,有償の会員を支援する上で貴重な情報源となっていた。今回の動きで同社はそのミッションを,同社がリーチ可能な,できる限り多くのwebをセキュアにする,ということに変更したようだ。CEOであるMatthew Prince氏は言う。

最先端の暗号化を備えることは,小さなブログでは重要でないかも知れないが,インターネットのデフォルトでの暗号化を促進する上では非常に重要なものだ。一見平凡なデータであっても,インターネットを流れるすべてのデータを暗号化することにより,webの傍受や絞り込み,あるいは検閲を試みる者の企てはさらに難しいものになる。言い換えれば,個人的なブログがHTTPS上で公開されることが保証できれば,人権団体やソーシャルメディアサービス,独立系ジャーナリストが世界中でアクセスしやすくなるはずなのだ。力を合わせて大きなことも行える。

この記事に星をつける

おすすめ度
スタイル

BT