Amazon Web Services(AWS)が認証局(CA)分野に参入した。同社は米国時間1月21日、開発者にデジタル証明書を無料で発行する新サービスを開始した。
「Amazon Trust Services」(ATS)という名称の新CAによりAWSは、現在SymantecとGoDaddyが大きなシェアを握っているデジタル証明書ビジネスに参入することになった。
また、AWSは同サービスに加えて「AWS Certificate Manager」(ACM)の提供も開始した。ACMを利用することで、AWS開発者らはSSL/TLS証明書のプロビジョニングや管理が可能になる。
今後は、AWSが発行した証明書を使用するHTTPSサイトにアクセスし、ブラウザのアドレスバーに表示された鍵アイコンをクリックすると、「Verified by: Amazon」(Amazonによって認証)と表示され、セキュアな接続であることが確認できるようになる。
現在、ACMはUS East(Northern Virginia)リージョンで使用できる。他リージョンは準備中だという。
AWSによる今回の動きに先立つ2015年12月、無料のサーバ証明書発行サービス「Let's Encrypt」がパブリックベータに移行している。Mozillaもスポンサーとして名を連ねている同サービスの目的は、ウェブサイトの運営者がHTTPSを手軽に利用できるようにするというものだ。なお、コンテンツ配信ネットワーク(CDN)企業CloudFlareも自社の顧客に対して証明書を無料で発行している。
AWSは、開発者がSSL証明書を使用したいと考える理由の1つに検索ランキングの向上があると指摘している。Google検索を例に挙げると、ウェブページにおけるHTTPS接続の有無がアルゴリズム内で評価されている。
またACMによって、開発者は証明書の設定ミスや破棄、失効といった問題に対処しやすくなるという。開発者に対して無料でデジタル証明書が与えられるという点に加えて、証明書管理コストを低減できる点は大きな魅力となりそうだ。さらにACMによって、セッションの暗号化が求められるような規制の厳しい業界の企業に対してもメリットがもたらされる。
とは言うものの、Let's Encryptとは異なり、AWSの無料証明書提供サービスは同社の「Elastic Load Balancing」や、CDNである「Amazon CloudFront」のユーザーに向けたものだ。
なお、AWSのFAQページによると、ACMの証明書は鍵長2048ビットのRSAと、SHA-256を使用しているという。ただし、完全な前方秘匿性(PFS)は提供されていない。PFSが提供されている場合、例えば将来的に米国家安全保障局(NSA)がAWSの保有するSSLの秘密鍵を接収したとしても、「過去に遡る暗号解読」は不可能となる。
さらにAWSは現在のところ、Extended Validation(EV)SSL証明書も提供していない。この証明書を使用すると、企業名がアドレスバーに緑色で表示されるようになるが、その価格は一般的な証明書よりも高くなっている。
AWSは2015年6月に、ルートCAとしての登録申請書をMozillaとAndroid Open Source Projectに提出していた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
