Fastly の TLS 認証局「Certainly」のご紹介
「Certainly」は、Fastly が設立したトランスポート・レイヤー・セキュリティ (TLS) のパブリック認証局 (CA) です。本日より、Fastly のお客様は Certainly によって発行された証明書を使用して、Fastly コンテンツ配信ネットワーク (CDN) によって配信されるWebサイトや API を保護できるようになりました。Certainly が発行する証明書は、高いレベルの信用と信頼性を提供し、Fastlyによって完全にサポートされているため、他の組織を必要としません。
私たちは、Fastly 独自の認証局を利用することでお客様は大きなメリットが得られると確信し、Certainly の設立に向けて多くの時間とエネルギーを費やしてきました。これまで、他の認証局が発行した証明書で数々の問題が発生し、お客様に影響が及んでいたという背景があります。TLS 証明書の発行という極めて重要なプロセスを社内で行うことで Fastly サービスの質をコントロールしやすくなった上、他の認証局で障害が発生した場合にフォールバックオプションの利用が可能になりました。
また Certainly の活用により、イノベーションを加速できます。Certainly が発行する証明書の有効期限は30日ですが、これは業界最短のデフォルト設定です。短い有効期限と自動化の組み合わせにより、侵害を受けた証明書を使用できる期間が短縮されるので、セキュリティの強化につながります。今後、Certainly を活用してさらに安全な Fastly サービスの提供に努めます。
Certainly の設立に向けた取り組みを開始した当初、業界のベストプラクティスを取り入れた先進的な認証局を構築することを目指しました。 以下では、Certainly の主な特徴をいくつかご紹介します。
Certainly は、コストが高く、エラーが生じやすい「組織認証型 (OV)」の証明書や「拡張認証型 (EV)」の認証書を発行しません。これらの認証書は、自動化プロセスとアジリティを損ねるためです。
Certainly は RSA (Rivest-Shamir-Adleman) と ECDSA (Elliptic Curve Digital Signature Algorithm) の証明書チェーンを完全にサポートしています。
Certainly は証明書の自動発行・管理を可能にする ACME (Automatic Certificate Management Environment) プロトコルを実装しています。
Certainly は Let’s Encrypt が管理する堅牢でコンプライアンスに対応したオープンソースの CA システム Boulder 上に構築されています。
Certainly の信頼性の高さはすでに確認されています。適用される CA/Browser Forum のガイドラインに準拠し、WebTrust for CA と呼ばれる監査規格に合格している Certainly は、認証局の要件を完全に満たしていることを証明する WebTrust シールを取得しています。また、Mozilla はパブリック証明書の検証プロセスを厳格化した際、Certainly をルート認証局のひとつとして認めました。Apple と Google も Certainly のリクエストをそれぞれのルートストアに含むことに同意しています。最後に、世界中で使用されているすべてのクライアントによって Certainly の証明書が確実に受け入れられるようにするため、長年にわたり高い信頼を得ているルート証明局の GoDaddy によってクロス署名されています。これにより、GoDaddy 認証局の証明書が何十年もかけて築いてきた信頼を Certainly は受け継ぐことができるのです。その結果、GoDaddy にはリスクが生じるものの、Certainly のポリシーと運営プロセスを徹底的に検証した結果、Godaddy はこのリスクを受け入れたのでした。
現在 Fastly のお客様は Certainly のベータ版をご利用いただけます。Fastly が自信を持ってお勧めする Certainly をぜひお試しください。