SSL/TLSの最新動向を知ろう! Internet Week 2015レポート (その1)
11月17日(火)-20日(金)の4日間、日本ネットワークインフォメーションセンター(JPNIC)が主催する「Internet Week」(IW)が富士ソフトアキバプラザにて行われました。筆者(法林)はこのイベントの実行委員を務めていますが、さくナレ読者の皆さんにもこのイベントを知ってもらいたいのと、当社社員も数名が登壇しましたので、その奮闘ぶりもお伝えすべくレポートします。いくつかのプログラムを取材しましたので、レポートも何回かに分けてお送りする予定です。
Internet Weekについて
さくナレでIWのレポートをお届けするのは初めてだと思いますので、IWをご存じない方のために、このイベントを簡単に紹介します。
IWは、インターネットに関わるすべての方と最新の情報を共有することでより良いインターネット環境を構築することを目指し、1997年から毎年開催されています。Weekという名前の通り、4日間で40本前後のプログラムが実施され、約2500人が参加する大規模な行事です。インターネットの管理/運用に携わるエンジニアが主な参加者層ですが、話題によってはソフトウェア技術者やハードウェア技術者、営業や企画など非エンジニアの方々も来場されます。どんなセッションが行われているかは、IWのプログラム紹介ページをご覧ください。
では、実際に行われているプログラムにご案内しましょう!
SSL/TLSはどうなっていくのか
最初にご紹介するのは11月18日(水)に行われた「SSL/TLSはどうなっていくのか」で、要するにSSL関連の技術動向を紹介するセッションです。当社も安価なサーバ証明書を提供する事業者ですので、見逃せないところです。
SSL/TLSセッションの会場
今年のSSL業界は無料証明書に注目!
前半は漆嶌賢二さん(富士ゼロックス株式会社)による「SSL/TLSをめぐる最新動向」でした。基本的には今年のSSL/TLS関連のトピック紹介でしたが、気になる脆弱性に関しては昨年のHeartbleed騒動が大きすぎたのか、それに比べると全体的にやや小粒だったようです(もちろん注意や対策は必要です)。その一方で、今年は証明書を無料で提供する動きが目立ったとして、Lets's Encryptプロジェクトを紹介しました。
そもそも、セキュリティが重視されるこれからのインターネットではすべての通信をHTTPSにすべきという流れになっていますが、サーバ証明書が高価なため普及が進まないという問題があります。そこで、誰でも無料で簡単に証明書を作れる仕組みを提供しようというのがLets's Encryptの目的です。他の証明書ベンダーと比べると、無料であることや、数秒で証明書が発行されるという劇的な早さなどが利点ですが、有効期間が90日と短いなどの注意点もあります。
Lets's Encryptが対応しているOSやWebサーバ環境であれば、現在公開されているプレビュー版をGitからダウンロードし、それを実行して質問に答えていくだけで証明書の取得とサーバの設定が自動的に行われます。SSLの設定はそれだけでブログの記事が1本書けるぐらい手間がかかることを思うと、とても簡単だと思います。
現在は一般向け証明書発行サービスのベータ版提供に向けて準備中だそうです。早ければ12月にもリリースされるとのことなので、来年には他の証明書発行サービスも含めて無料証明書を利用するのが一般的になるかもしれませんね。
SSL/TLSセッションの講師:大津さん(左)、漆嶌さん
TLS 1.3がやってくる!
後半は大津繁樹さん(株式会社インターネットイニシアティブ)から「HTTP/2, QUICからTLS1.3へ」と題するお話がありました。私達が https://... で始まるWebページを見るときに使われる通信プロトコルがTLSで、現在のバージョンは1.2ですが、1.3は実質的にTLSのメジャーバージョンアップと位置付けられています。
まずTLS 1.3が出てきた背景を2つ挙げました。1つはインターネット環境の変化で、セキュリティに対する意識の高まりにより常にHTTPSでの接続が求められるようになったこと、HTTP/2やQUICといった新しいWeb通信プロトコルが出てきたことなどがあります。もう1つはTLS 1.2に限界が出てきたことです。1.2は標準化制定から7年が経過し、攻撃手法の確立や脆弱性などのため安全とは言えなくなった機能が数多く残されています。いわば技術的負債を多く抱えている状態で、これを一掃するために新版が策定されることになりました。
TLS 1.3の歴史(大津さんの講演資料より)
続いて、標準化作業が大詰めを迎えているTLS 1.3の仕様について解説されました。1.2との比較という観点でとらえると、多くの機能の廃止、セキュリティレベルの向上、性能の向上の3点が大きな特徴と言えます。この中で筆者が面白いと思ったのは性能の向上です。SSL/TLSはセキュリティ関連の技術なのになぜ性能の話になるの?と言われるかもしれませんが、実はHTTP/2やQUICでは接続を多重化したりサーバ~クライアント間の交信回数を少なくするなど性能面での改良が図られており、TLSもこうした動きに対応するための変更が加えられているそうです。
最後にTLS 1.3が与える影響について言及されました。TLSライブラリ開発者は多大な改変作業が発生します。アプリ開発者やインフラエンジニアは、TLS 1.2以前との互換性を考慮しつつ、クライアントやサーバの対応状況を確認する必要があります。一般ユーザは特に気にすることはないはずですが、効果として前述の性能向上によりWebサイトの表示が速くなることが期待できます。
TLSの仕様はGitHubで管理されていて、Markdown形式で記述されています。つまり誰でも閲覧できますので(英語ですが)、興味のある方はご覧ください。
次回につづく
本当はこの後にパネルディスカッションもあったのですが、誌面が尽きてしまったので割愛します。それにしても2時間半にわたって情報量の多いセッションを聞くことができてよても有意義でした。当社のサービスとも関連のある分野ですので、引き続き動向を見守りたいと思います。
次回もプログラムのレポートをお届けします。お楽しみに!