さて、今日のネタですが、SSLサーバ証明書を無料で発行する「Let's Encrypt」がβ版から正式版に移行したというニュースがありました。最近、http通信からhttps通信への移行が進んでいます。Twitterやfacebookもそうですし、Googleもhttpsに完全移行して、httpsの方を検索結果上位に上げると明言してました。数日前にもYahoo!が完全https化するという報道がありました。このへんは検索用キーワードやIDやパスワードを入力するので、盗聴や情報漏洩のリスク回避のために必要に迫られてという面はあろうかと思います。「通常ページはhttpなんだけど、認証ページはhttps」というケースからサイト全体がhttps化という方向に進んできています。

 利用者サイドから見たセキュリティ面的には向上したように映ります。通信経路が暗号化された状態で通信している安心感あると思います。

 これをネットワーク管理者側の視点から見ると、ユーザがhttpsで通信している内容が掴めないという問題があります。万一、ユーザのPCがウイルス感染して怪しげなbotが外部のC&Cサーバとhttpsで通信していたら…などと考えると厄介です。プロキシサーバを間に入れて、一旦プロキシサーバでhttps通信を終端化させることを考えないと…という話になります。となると、プロキシサーバにSSLサーバ証明書を別途インストールする必要が出てきます。https通信をさせるためにwebサーバにインストールしているSSLサーバ証明書の更新が面倒だということもあります。契約形態にもよりますが、毎年更新しなくてはいけませんし、その度にCSRを作って業者とやり取りするのも結構面倒です。更新やインストールの手間が省けるというのがLet's Encryptのメリットかと思います。ただ、企業や官公庁では急には普及しないんじゃないかと見ています。過去の実績や導入事例を見てから判断ということになるんじゃないでしょうか。ということは、まずは個人レベルからなのかなと思います。そう言えば、WordPressがこれを使ってhttps化という風に言ってましたね。