こういった新しい要件は、Chrome Root Store の申請者が「自動化されていない」方法で証明書の発行や更新を行うことを禁止するものでも、ウェブサイト運営者が自動化ソリューションのみを使って証明書の発行や更新を行うことを求めるものでもありません。このポリシーの更新の目的は、CA オーナーの顧客が証明書の自動発行を選択できるようにすることです。
私たちは、独自のプロトコルやツールを使うソリューションよりも、ACME ソリューションを推奨しますが、新しいポリシー要件が意図している内容は、どちらの形式の自動化でも満たされます。さらに明確に言うなら、ACME を推奨する理由は、幅広いエコシステムが対応し、採用しているからです。また、ACME はオープンであり、継続的なイノベーションと、強力なエコシステムの参加者たちが進める機能強化による恩恵を受けています。ACME のクライアント オプションには
詳細なドキュメントが豊富にあり、さまざま言語とプラットフォームに対応しています。そのうえ、ACME は、Web PKI の TLS 証明書を発行するというニーズに特化した設計になっています。
自動化にまつわる今後の可能性
証明書の発行と管理の自動化を幅広く普及させる活動によって、次世代の Web PKI のための重要な基盤が確立されることになります。自動化の活用が増えれば、今後、さらに近代的でアジャイルな基盤が誕生する可能性が生まれ、強固なセキュリティ特性を実現できます。たとえば、欠点を最小限にとどめつつ、証明書の最長有効期間を短縮できます。
すべてのウェブサイト運営者が自動化を選択できるようにするには、Web PKI エコシステムのメンバー(ウェブブラウザ、CA、ウェブサイト運営者、ホスティング プロバイダなど)が継続的にコラボレーションする必要があります。
ACME Renewal Information や
サブドメインの自動証明書管理環境など、ACME エコシステムの最近の進展は励みになります。こういった取り組みの目的は、証明書のステータスに影響を与えたり、停止につながったりする予期せぬできごとからウェブサイト運営者を守ること、そして ACME が一般的なサーバー認証のユースケースをサポートしやすくすることにあります。フェイルオーバー関連の処理は、さらに改善できる余地があります(リクエスト時に優先プロバイダが利用できない場合、新しい CA にスムーズに移行するなど)。自動化を導入する顧客をサポートできる CA オーナーが増えれば、こういった進展が継続し、ウェブサイト運営者がサーバー認証証明書を安全かつ簡単に取得、管理できるようになるはずです。
詳細を見る
ウェブサイト運営者であるなら、証明書の発行と管理の自動化がもたらす可能性について考えてみましょう。ぜひ今すぐ始めてください。さらに詳しく知りたい方のために、以下にリソース一覧をまとめます。ただし、関係する CA オーナーに連絡し、サポートの状況や自動化計画の有無を確認することをお勧めします。
リソース
証明書の発行と管理を自動化するソリューションの導入についてすでに調査したことがあり、それが困難すぎる、または障害が多すぎて実現できないと判断したことがある方は、ぜひ再検討してみてください。Web PKI は進化を続けており、最近の進展により、自動化の採用はこれまで以上に容易になっています。
Caddy のような最新のウェブサーバー プラットフォーム プロバイダでは、ウェブサイト運営者がデフォルトで TLS を設定しやすくなっています。多くのサードパーティ ホスティング プロバイダ組織も同様です。
証明書の発行と管理の自動化に対応していないソフトウェアやサービス プロバイダを利用している場合は、この投稿を共有し、プロダクトの今後のロードマップに自動化を含めるよう依頼しましょう。
