Let's Encryptの10周年

 (letsencrypt.org)
11 ポイント 投稿者 GN⁺ 2025-12-10 | 1件のコメント | WhatsAppで共有
  • 2015年の最初の公開証明書発行以来、Let’s Encryptは世界で最も多くの証明書を発行する**最大規模の認証局(CA)**へと成長
  • 自動化を基盤としたスケーラビリティを中核に、1日あたり1,000万件以上の証明書を発行し、約10億のWebサイト保護に迫る規模へ
  • HTTPS暗号化比率を世界全体で30%未満から80%水準へ引き上げ、Webセキュリティ向上に貢献
  • 国際化ドメイン、ワイルドカード、短期およびIP証明書などの機能を継続的に追加し、インフラ性能を強化
  • 非営利組織ISRGの支援の下、無料かつ自動化されたセキュリティインフラを通じてインターネット利用の障壁を下げる使命を継続

Let’s Encryptの10年の歩み

  • 2015年9月14日の最初の公開証明書発行以降、自動化ソフトウェアを通じて大半のクライアントが信頼できる証明書を提供
    • その後、数十億件の証明書を発行し、世界最大規模の認証局へと成長
    • ACMEプロトコルがサーバーエコシステム全体に統合され、システム管理者の間で標準として定着
  • 2023年には非営利の母体である**Internet Security Research Group(ISRG)**が設立10周年を迎える
    • Let’s Encryptとともに公益インフラプロジェクトを継続的に運営

成長と拡大

  • 2016年3月に100万件目の証明書、2018年9月には1日100万件発行、2020年には累計10億件発行を達成
    • 2025年末時点で1日1,000万件以上の証明書を発行
    • アクティブなサイト数は約10億に迫る
  • 発行量の増加は、アーキテクチャの安定性と自動化ビジョンの成功を証明
    • 証明書発行量は間接指標であり、核心はHTTPS普及率の向上
    • Firefoxの統計では、HTTPS接続比率が5年で30%未満 → 80%以上へ上昇
    • 米国では約95%水準を維持

技術的進化とインフラ改善

  • 2016年に国際化ドメイン(IDN)対応、2018年にワイルドカード証明書、2025年に短期およびIP証明書を導入
  • 2021年にはデータベースサーバーのアップグレードにより大規模データ処理に対応
    • 内部ネットワークをギガビット → 25ギガビットイーサネットへ移行
  • 2025年にはCertificate Transparencyログ構造の改善を実験し、導入を決定
    • 継続的な成長に対応するためのアーキテクチャアップグレードを推進

信頼体系と標準化活動

  • IdenTrustのクロス署名により初期の公開証明書発行が可能に
    • その後、自前のルートCA証明書を構築・配布
  • CA/B ForumIETF、ブラウザーのルートプログラムなどと協力し、Web PKIの発展に貢献
  • 証明書チェーン管理、キーセレモニー、文書化などのPKIエンジニアリングを実施

自動化の哲学と社会的価値

  • 目標はWeb PKIの完全自動化であり、サイト運営者が証明書を意識しなくてもよい環境の構築
    • 自動化が成功するほど、サービスが「当たり前の存在」と認識されるリスクがある
    • 継続的な認知向上と支援確保の重要性を強調
  • コミュニティは毎日数千万件の証明書利用と支援参加によってプロジェクトを支える
  • Levchin Prize(2022)O’Reilly Open Source Award(2019)、**IEEE Cybersecurity Award(2025)**などを受賞
  • 2019年にはACM CCS学会論文を通じて、プロジェクトの歴史と設計を学術的に記録

パートナーシップと今後のビジョン

  • 初期スポンサーであるMozilla、EFF、Cisco、Akamai、IdenTrustの支援により始動
    • 特にIdenTrustはクロス署名の提供によって公開証明書サービス実現の中核的役割を果たした
  • 今後10年間で金銭的・技術的・情報的障壁を下げ、より安全でプライバシーに配慮したインターネットの構築を目指す
  • Let’s Encryptは非営利のISRGによるプロジェクトであり、寄付とスポンサーシップによって継続運営

関連記事

1件のコメント

 
GN⁺ 2025-12-10
Hacker Newsのコメント

  • Let's Encrypt のおかげで、今では TLS のないウェブサイトは想像しにくい
    以前勤めていた会社の CEO は「無料の証明書は顧客に安っぽく見える」と言って採用を拒んでいたが、本当に ばかげた考え だった
    世界最大級の認証局だったし、顧客が証明書の発行元を気にしたこともなかった
    他の人たちも Let's Encrypt の利用について否定的なフィードバックを受けたことがあるのか気になる

    • 一部の ホスティング事業者 は外部証明書の使用を禁止し、自社の有料証明書しか売れないように制限していた
      SSH やコンテナへのアクセスを塞いで無料証明書の導入を不可能にし、自社証明書の価格を法外に吊り上げていた
      技術に疎い政治家でさえこれを理解していたなら、価格カルテルのスキャンダル になっていただろう
    • 2022年の CEO の立場としては、EV 証明書が消えてからそれほど時間が経っていなかったので理解はできる
      Chrome 77 と Firefox 70(2019年)で EV の視覚表示がなくなり、その後の変化に適応できなかった人もいた
      関連記事: Extended Validation Certificates Are Really, Really Dead
    • 以前 Porsche のウェブサイトの期限切れ証明書を知らせたところ、数時間で Let's Encrypt に切り替えていた
      あのときは本当に驚いたし、Let's Encrypt はインターネットにおける SSD のような存在 だと思う — 一段階アップグレードされた感覚だ
    • かつては EV 証明書が DV よりも信頼されていた時代があった
      ブラウザは EV 証明書に特別な表示をしていたが、そういう時代はもう終わった
      更新手続きが煩雑だったので日常的には良くなったが、どこか 失われた感じ もある
    • 15年ほど前には EV 証明書が営業の場面で意味を持っていたが、その後は誰も気にしなくなった

  • Let's Encrypt 以前の TLS は本当にひどかった
    ホストごとに料金を払い、手動でドメイン検証を行い、毎年更新を管理しなければならなかった
    今では ACME クライアントを一度入れれば終わりで、HTTPS の比率は数年で 30% から 80〜95% まで上がった
    真の革新は 自動化(ACME) と非営利の仕組みのおかげで実現した
    今後は証明書の有効期間が 45日に短縮される予定なので、手動導入は不可能になるだろう
    まだ IoT や内部ダッシュボードのような領域では自動化が不足している

    • 以前は証明書の有効期間が 3年で、2年物が登場したのは 2018年になってからだった
      Let's Encrypt はそれ以前から短いサイクルの自動化を牽引していた
    • 昔は 3年有効の無料証明書を入れて忘れていればよかったのに、今では 期限切れサイト が頻繁に出てきて不便だ
      アメリカの IT 業界が優良な CA を追い出したのだと思う
    • 会社がスタック移行中で一時的な証明書を買おうとしたが、数十個のワイルドカードサブドメインのせいで 1年物の証明書が 3万ドル だった
      そこで自前で CA を作って社内サーバーに導入し、結局また Let's Encrypt に戻した
      今となっては、そんな高額証明書の市場が存在していたこと自体信じがたい
    • IoT 分野では Matter プロトコル に ACME 機能を入れて、ハブが独自 CA の役割を果たせるようにするとよいと思う
      現実には低価格ハードウェアでは難しいだろうが、夢は見ている

  • 2007〜2011年ごろにシステム管理者をしていたときは、自分で openssl で CSR を作り、GoDaddy で証明書を買って手動で配布していた
    今思うと世界が完全に変わったように感じる
    Let's Encrypt はインターネット史上でもっとも 素晴らしいサービス の一つだ

    • S/MIME 用にもこういうサービスがあればいいのにと思う
    • あの時代は本当に 退屈で面倒な作業 の連続だった
    • 数年前まで手動でやっていたが、友人が Let's Encrypt を教えてくれて、まるで 魔法 のようだった

  • Snowden 事件 も TLS 普及の大きなきっかけだった
    それ以前は、お金が動くサイトだけに TLS が必要だと考えられていて、トラフィックは簡単に盗聴できた
    IRS の捜査官が 2008年ごろの講演で、違法カジノを摘発するとき暗号化はまったく障害にならなかったと話していた

    • ただしこれは 事後的な事実の書き換え(retcon)
      Facebook は 2011年に TLS を導入し、Google Mail は 2010年にデフォルトで TLS だった
      2010年ごろには TLS 未導入のサイトはセキュリティ脆弱性として分類されるほどだった
    • 実際には、2000年代後半にはすでに 広告挿入型 HTTP のせいで HTTPS が必須になっていた
      NSA よりも広告収益の保護のほうが大きな動機だった

  • ウェブトラフィックの暗号化が当たり前になったのは良いが、今では CA の承認なしには 基本機能を使えない点が惜しい

    • 「CA の承認」とはどういう意味なのか聞きたい
      Let's Encrypt はドメイン所有だけを確認するのであって、サイト内容には関与しない
      関連記事: Phishing and Malware
    • これは新しい問題ではなく、Let's Encrypt でも解決できなかった古い構造的問題だ
      スタック全体にこうした 単一障害点 が多い
    • DNS も事実上必須の要素なので、似たような状況だ
      主要な認証局や TLD もサイトの性質を問うことはない

  • Let's Encrypt の発表当時は、「良いアイデアだけどブラウザは受け入れるだろうか?」と思っていた
    今ではすべての セルフホストサイト に適用しており、会社でも自動更新に切り替える予定だ
    昔の SSL/TLS の苦労を思うと、新しいサイトを作るたびに LE の証明書を取得するたびに 笑みがこぼれる

  • Let's Encrypt には 独立性 を保ってほしいし、Google のような大企業に買収されてほしくない
    SSL 発行が検閲の道具として悪用される世界は恐ろしいだろう
    最近のブラウザは HTTP サイトをほとんど悪意あるもののように見せている

    • Google が検閲するなら、SSL より Safe Browsing のブラックリスト のようなもっと強力な手段がある
    • Let's Encrypt は 非営利団体 なので、一般企業のように買収されることはない
      アメリカの税法上、非営利資産は非営利領域に残らなければならないため、大企業に壊されるリスクはない

  • 毎年の 寄付先リスト に Let's Encrypt を入れている
    すべてのブラウザが HTTPS を要求する時代に、このサービスなしでは インディー開発者 は生き残るのが難しかったはずだ
    本当にありがたいプロジェクトだ

  • この10年は素晴らしかった
    これからは 発行インフラの分散化レジリエンス強化 が必要だ
    島しょ地域ではインターネットが頻繁に途切れるので、証明書の有効期間が短くなると問題になりうる
    ccTLD レジストラと協力して 地域発行システム を構築してほしい

  • 7年間 Let's Encrypt を使っている
    ブログや個人プロジェクトを HTTPS で運用できるようになって、生活はずっと良くなった
    Nextcloud のようなもののために毎年 50ドル払っていたとは思わないが、セキュリティ向上の効果 は絶大だ
    世界を少しでも良くしてくれたすべての人に感謝する