Fastly の TLS 認証局「Certainly」のご紹介

最新情報 Fastly は 2023年8月16日に、高い信頼性を誇る認証局である「Certainly」の一般提供の開始を発表しました。Certainly は今後、すべての Fastly のお客様にお使いいただけます。証明書のライフサイクルを維持、監視するにはリソースが必要であること、そしてライフサイクルに関わるエラーがサービスのダウンタイムを発生させる可能性があることはよく知られています。Fastly は証明書管理に関するお客様のニーズを、Certainly がもたらす3つの大きな利点によりすべて満たします。

  1. 30日間という短い有効期限と、侵害を受けた証明書を使用できる期間が短縮されることで、新たな費用をかけずにセキュリティの強化とリスクの低減が実現します。 

  2. 大量のドメインにも対応できる証明書管理の簡素化、迅速化を可能にします。

  3. Fastly がさまざまな問題の解決を管理するとで、より信頼性の高いサービスと高品質のカスタマーサポートを提供します。

Certainly は業界の規制とベストプラクティスの遵守をサポートします。Fastly の認証局は業界団体により規定された最新の基準やガイドラインを遵守しており、私たちのサービスが常に変化を続けるデジタルセキュリティや信頼性のニーズを満たしていることを示しています。

ここでは Certainly に関する詳細やドキュメントへのリンクなど、Certainly使い始めるのに必要な情報をすべて紹介します。  

元の記事は以下に続きます。

「Certainly」は、Fastly が設立したトランスポート・レイヤー・セキュリティ (TLS) のパブリック認証局 (CA) です。本日より、Fastly のお客様は Certainly によって発行された証明書を使用して、Fastly コンテンツ配信ネットワーク (CDN) によって配信されるWebサイトや API を保護できるようになりました。Certainly が発行する証明書は、高いレベルの信用と信頼性を提供し、Fastly によって完全にサポートされているので他の組織を必要としません。

私たちは、Fastly 独自の認証局を利用することでお客様は大きなメリットが得られると確信し、Certainly の設立に向けて多くの時間とエネルギーを費やしてきました。これまで、他の認証局が発行した証明書で数々の問題が発生し、お客様に影響が及んでいたという背景があります。TLS 証明書の発行という極めて重要なプロセスを社内で行うことで Fastly サービスの質をコントロールしやすくなった上、他の認証局で障害が発生した場合にフォールバックオプションの利用が可能になりました。

また Certainly の活用により、イノベーションを加速できます。Certainly が発行する証明書の有効期限は30日ですが、これは業界最短のデフォルト設定です。短い有効期限と自動化の組み合わせにより、侵害を受けた証明書を使用できる期間が短縮されるので、セキュリティの強化につながります。今後、Certainly を活用してさらに安全な Fastly サービスの提供に努めます。

Certainly の設立に向けた取り組みを開始した当初、業界のベストプラクティスを取り入れた先進的な認証局を構築することを目指しました。以下では、Certainly の主な特徴をいくつかご紹介します。

  • Certainly は、コストが高く、エラーが生じやすい「組織認証型 (OV)」の証明書や「拡張認証型 (EV)」の認証書を発行しません。これらの認証書は、自動化プロセスとアジリティを損ねるためです。

  • Certainly は RSA (Rivest-Shamir-Adleman) と ECDSA (Elliptic Curve Digital Signature Algorithm) の証明書チェーンを完全にサポートしています。

  • Certainly は証明書の自動発行・管理を可能にする ACME (Automatic Certificate Management Environment) プロトコルを実装しています。

  • Certainly は Let’s Encrypt が管理する堅牢でコンプライアンスに対応したオープンソースの CA システム Boulder 上に構築されています。

Certainly の信頼性の高さはすでに広く知られています。適用される CA/Browser Forum のガイドラインに準拠し、WebTrust for CA と呼ばれる監査規格に合格している Certainly は、認証局の要件を完全に満たしていることを証明する WebTrust シールを取得しています。また、Mozilla はパブリック証明書の検証プロセスを厳格化した際、Certainly をルート認証局のひとつとして認めました。Apple と Google も Certainly のリクエストをそれぞれのルートストアに含むことに同意しています。最後に、世界中で使用されているすべてのクライアントによって Certainly の証明書が確実に受け入れられるようにするため、長年にわたり高い信頼を得ているルート証明局の GoDaddy によってクロス署名されています。これにより、GoDaddy 認証局の証明書が何十年もかけて築いてきた信頼を Certainly は受け継ぐことができるのです。その結果、GoDaddy にはリスクが生じるものの、Certainly のポリシーと運営プロセスを徹底的に検証した結果、Godaddy はこのリスクを受け入れたのでした。

現在すべての Fastly のお客様が Certainly をご利用いただけます。Fastly が自信を持ってお勧めする Certainly をぜひお試しください。

Wayne Thayer
Senior Director of Engineering
投稿日

この記事は4分で読めます

興味がおありですか?
エキスパートへのお問い合わせ
この投稿を共有する
Wayne Thayer
Senior Director of Engineering

Wayne は Fastly でセキュリティプロダクトとTLS を担当しています。Fastly 入社前は、Mozilla の Certificate Authority プログラムを統括したほか、GoDaddy でパブリック認証局の運営に携わりました。Wayne は Mozilla セキュリティコミュニティや CA/Browser Forum で引き続き活動しており、認証局の信頼性の向上に注力しています。