Webサーバーで使うサーバー証明書の発行数が世界最多の認証局Let's Encrypt(レッツエンクリプト)は2024年7月23日、衝撃的な声明を発表した。サーバー証明書の有効性を確認するメジャーなプロトコル「OCSP(Online Certificate Status Protocol)」のサポートを終了する意向を示したのだ。
サーバー証明書はWebサーバーとユーザーが使うWebブラウザーの間でセキュリティープロトコル「TLS(Transport Layer Security)」を利用するときに必要なデータで、認証局が発行する。TLSは、「https」で始まるURLのWebサイトにアクセスするときなどに使う。
OCSPはこのサーバー証明書の有効性を確認するために使うプロトコルで、Let's Encryptを含む認証局がサポートしている。過半数のサーバー証明書を発行しているといわれるLet's Encryptが突如OCSPをやめると発表したため、SNSなどでは、自社・自組織への影響を心配する声を複数確認できた。
それでは、なぜLet's EncryptはOCSPサポートを終了するのか、企業ユーザーに影響が出ないのだろうか。順に見ていこう。
認証局にアクセスしたWebサイトを知られてしまう恐れ
Let's EncryptはOCSPサポートをなぜ終了するのか。声明の中では、理由として「プライバシーの問題」を挙げている。
OCSPの利用がプライバシーの問題に関わる理由は次の通りだ。OCSPを使ってサーバー証明書の有効性を確認する場合、証明書を受け取ったユーザーの端末はOCSPレスポンダーと呼ばれる認証局が用意したサーバーに、証明書の識別子(シリアル番号)を送る。OCSPレスポンダーはシリアル番号を基に、当該証明書の失効情報を応答する。Webブラウザーは失効情報を使って、証明書が有効か無効かを判断する。
OCSPレスポンダーがアクセスログなどでアクセス元IPアドレスとシリアル番号の組み合わせを保存していると、ユーザーのアクセス履歴が認証局に分かってしまう。Let's Encryptは、認証局が意図的にこの情報を保持していなくても、法的に収集される懸念があるとする。
