無料のSSL証明書はLet’s Encryptだけなのか?

無料SSL証明書と言ったら迷わずLet’s Encryptを想像されるでしょう。
ほぼ一人勝ち状態でApple、Google、Facebook、Microsoft、Oracle、Mozillaなどの大手テクノロジー企業/団体が支援しています。
今後も無くなることは皆無と言えるでしょう。

しかし、無料SSL証明書ってLet’s Encryptだけなの?という疑問が浮かびました。
今回は無料証明書の歴史について振り返ってみようと思います。

2018年9月にJIPDECが公表したLet’s Encryptのシェア率は、全体の41.3%でした。

このグラフは有料証明書を含めたシェア率なので、Let’s Encryptが占める割合というのは計り知れません。それから約1年半ほど経過したと考えると現在は50%を超えてるかもしれません。

実はLet’s Encryptの歴史はまだ浅く、正式に開始されたのは2016年4月です。
アメリカの非営利団体が運営する認証局によりサービスが開始されました。
Let’s Encryptのサービスは証明書発行プロセスの完全自動動化を特徴とし短期間で世界的にシェアを拡大しました。

無料SSL証明書の歴史

  • 2004年 CAcert.org
    →ほとんどのブラウザは、CAcert.orgのルート証明書を持っていません
  • 2005年 StartSSL
    →2020年からは全ての証明書が失効されると発表
  • 2013年 Free SSL Certificates for Open Source Project
    →証明書を取得するための審査がかなり厳しい
  • 2015年 WoSign Free SSL Certificate
    →2016年10月21日以降に取得した証明書はFirefox 51以降で使用できない
  • 2016年 Let’s Encrypt
    →一人勝ち状態

こうやってみると、Let’s Encryptは無料SSL証明書の中で最も歴史が浅く最も利用者の多い証明書となります。それ以外の証明書は信頼性が低かったり、そもそもエラーが出て表示されなかったりと使い物になりません。余談ですが、トライアル証明書として以下の有名な企業も期限付きで無料で提供しています。

トライアル証明書

いくつかの会社がトライアル用の証明書を無料で発行しています。

  • Cybertrust:30日間
  • GeoTrust:30日間
  • GlobalSigin:45日間
  • Comodo:90日間

無料とはいえ期限が過ぎるとどの証明書も高い値段になるので、個人で導入するにはちょっとハードルが高いと思います。
なので実質的には無料SSL証明書を導入するなら、Let’s Encrypt以外の選択肢は無いかと私は思います。

Let’s Encryptの問題点

褒めちぎったLet’s Encryptですが、デメリットな要素もご紹介します。
Let’s Encryptの証明書が世界的にフィッシング詐欺サイトに多く利用されているという状況を示すデータも報告されています。

フィッシングサイトで使われているSSL証明書

サーバ証明書には「暗号化通信」「実在証明」の2つの役割があります。
Let’s Encryptのサーバ証明書(DV)は暗号化通信はできるものの、実在証明に関してはドメインが登録されていることのみが確認された低レベルで、証明書を発行する際に認証局が証明書申請組織の実在確認や申請意思確認などを実施するOV/EVと比べ、確認プロセスが少ないことからフィッシング詐欺サイトに容易に発行されてしまうため、「なりすまし対策」としての効果がないと言われています。