Let’s Encryptを運営する非営利団体 Internet Security Research Group (ISRG) は、公開認証局(CA)によって、今年 30億もの証明書発行を突破したと発表しました。
2015年9月に無償の認証局(CA)としてサービスを開始して以来、https通信に必要なX.509デジタル証明書をwebサイトに対して無償で提供してきました。
2018年8月には、主要なブラウザーやOSを含む主要なルート証明書プログラムによって信頼できる認証局として運用されています。
現在は、毎日何百万件ものデジタル証明書が発行されており、pcmatic.jpもこれを利用してホームページ運用をしています。
これは現在世界中の Webサイトで活用されている約 1億1,600万の有効なデジタル証明書発行数の約 2.6%にも相当します。
Let’s Encryptは手軽にデジタル証明書が発行できる利便性から、悪意あるハッカー組織にも利用され、C2サーバの暗号化にも貢献してしまいました。Let’s Encryptが開始される前は、マルウェアとC2サーバとの間の通信は80番ポートによるプレーンテキスト(平文)で送信されていたため、ファイアウォールにて悪意ある通信を判別しやすかったのです。しかし昨今は、443ポートを利用するなどして暗号通信となってしまったため、SSLインスペクション機能をもった高性能ファイアウォール装置でなければ、マルウェアとC2サーバ間の通信内容を解読することができなくなってしまいました。
公開鍵を利用しているうちは判別しやすいのですが、共通鍵を利用した暗号通信を行うマルウェアも存在しているため、高性能ファイアウォール装置でもってしても、マルウェアとC2サーバの不審な通信を見つけるのは、いまや困難かもしれません。
このためにもやはり、ゼロトラスト・セキュリティモデルの推進は必要になることになります。
