Let's EncryptによるSSL設定
MDaemon Messaging Server
各種ブラウザがSSL化されていないサイトに対して警告表示するようになりました。今後、SSL化されていないページへのアクセスが制限されていくのではないかともいわれています。そんなタイミングで、一気に普及し始めたLet's Encrypt。まずはSSLやLet's Encryptの簡単な説明、更にLet's Encryptの具体的な設定の流れも解説してみます。
HTTPSとは、Transport Layer Security (TLS)という暗号化技術を使ったHTTPプロトコルの事です。 ホームページを見ていると、http://から始まるURLとhttps://から始まるURLがありますよね。https://から始まるページは、暗号化されていて、盗聴されるリスクがないため、クレジットカード情報を入力するページなどで、主に使われていました。ただ、ほとんどのページはhttp://から始まるHTTPで公開されていました。
ウェブサイトのSSL化は、各検索エンジンなどで推奨されてきましたが、最近になって、SSL化されていないページは、ブラウザ上で警告表示されるようになってきたり、突然非SSL化ページに対する風当たりが強くなってきました。
日本で従来SSL化が進んでいなかった理由は大きく2つあると考えています。1つは、証明書の導入作業の手間がかかった事。専任者がいる場合はいいですが、そうでなければ申請するだけでも結構な手間がかかります。ただ、この点については、レンタルサーバー側で、ボタンをクリックするだけで簡単にSSL証明書を設定できるようにしたり、かなり改善されたのではないかと思います。そして2つ目は、SSL証明書の費用。2万円〜10万円程、年間費用として必要でした。一般公開しているサーバーであれば、それも仕方ない、という事で、SSL証明書を導入したりもしていましたが、例えば、ブラウザを使った社内向けのシステムで、基本的に社内のメンバーしかアクセスしないようなサイトに対しては、費用面のハードルがあるため、SSL化は多くの場合見送られてきました。
そこで、2015年に誕生したプロジェクトがLet's Encryptです。Let's Encryptは、SSL証明書を、「無償で」「簡単に」導入するための認証局として開設されました。2018年の現在、なんと170万台のウェブサーバーでLet's Encryptを導入しているそうです。
STARTTLSは、送信者側のメールサーバーと、受信者側のメールサーバーとの通信で主に使用されます。SMTP/IMAP/POP3 over SSLの場合、社外からのSMTP通信を暗号化するには、それぞれ専用のポートであるSMTPS(465/tcp)、IMAPS(993/tcp)、POP3S(995/tcp)をファイアウォールで解放しなければなりません。同様に社外のメールサーバとの暗号化通信においても、SMTP/IMAP/POP3 over SSLの場合、ファイアウォール設定上のハードルが高いことが挙げられます。
STARTTLSでは、最初の接続は従来のSMTP(25/tcp)、IMAP(143/tcp)、POP(110/tcp)を使って行い、接続先のメールサーバがSTARTTLSに対応していれば、同じ接続の中で暗号化通信を行える仕組みとなっております。そのため、SMTP、IMAP、POPを使った送受信メールの暗号化をシステム環境的に容易に行えます。
ブラウザでのSSL通信(https)と同様に、多くのメールクライアントソフトウェアでは、第三者証明機関が発行する証明書を使用しないと(自己発行の証明書を使うと)、接続時に信頼できる証明書であるかを確認する警告メッセージが表示されます。
STARTTLSをサーバー側で実装する場合、送信先のサーバーがSTARTTLSに対応していないと、メールの暗号化は行われません。多くの場合、取引先にメールサーバーの暗号化対応を強制することはできず、結果としてメールの送受信が行えなくなる場合もあります。
例えばMDaemonメールサーバーでは、送信先サーバーがSTARTTLS対応のサーバーかどうかを通信時に判定し、SATRTTLS対応であればメールを自動で暗号化し、STARTTLSに未対応のサーバーであれば、従来のSMTPでメールを送信するという機能がデフォルトで有効になっています。 取引先にメールサーバーの暗号化対応を強制することはできませんが、この方法であれば、最も安全な方法をサーバーで自動選択し、ユーザーや管理者へ負荷をかけることなく、メールが送受信できなくなるといった事態も避ける事ができます。
