18F によるアメリカ政府の SSL の導入状況に関するレポート

2015年6月、ホワイトハウスは「連邦のWebサイトとWebサービス間の安全な接続を要求するポリシー」を発表し、.gov ドメインのウェブサイトの SSL 化をすすめてきました。

https://www.whitehouse.gov/sites/default/files/omb/memoranda/2015/m-15-13.pdf

先日アメリカ政府における SSL の導入状況について 18F がブログに公開していたのでそれをご紹介します。

https://18f.gsa.gov/2017/01/04/tracking-the-us-governments-progress-on-moving-https/

18F とは?

18F とはアメリカ政府内の政府機関の一つで、政府内の IT システムの調達や導入支援などを行なっています。

この組織がとてもユニークだと感じるのはオープンソースに関してとても積極的であることと、政府機関とは思えないほど IT スキルがすぐれていることで、彼らがオープンソースで公開している Draft U.S. Web Design Standards はぜひ日本のエンジニアも見ておくべきプロジェクトの一つだと思います。

https://standards.usa.gov/

政府のサイトの SSL 導入に関する評価基準

18F は .gov のサイトの SSL 導入状況を評価するにあたって以下の3つの評価基準を設けています。 これらは下に行くほど評価が高くなります。

  • HTTPS をサポートしていること。HTTPS から HTTP にリダイレクトしていないこと。証明書は自己証明書も含む。(これはステージングも想定しているんじゃないかと思われる。)
  • HTTPS がデフォルトであること。HTTP リクエストを HTTPS にリダイレクトすることはあるが、直接アクセスする際は HTTPS をサポートする必要がある。
  • HSTS ポリシーを設定し、少なくとも1年間の有効期限を設ける必要がある。

以上の評価基準に基づいて.govドメインのウェブサイトを評価したところ、全体の 73% のウェブサイトが HTTPS を導入しており、全体の 43% のウェブサイトが HSTS を設定済みであったとのことです。

サブドメインのウェブサイトも含めるとこの数値は下がるようですが、これは未使用だったり放棄されていたり、ステージング環境だったりなどの「ロングテール」があるからだそうです。

えー、日本政府はどうかなと思って調べて見たのですが、ちょっとググっただけで、絶対にこれほどの導入率ではないことがよくわかりました。がんばろう日本。

トラフィックに対する評価

上述した数値はドメインあたりに対する HTTPS の導入状況ですが、トラフィックあたりについても公開されていました。

ちょっと驚いたのですが、アメリカ政府って Analytics を公開しているのですね。

https://analytics.usa.gov/

しかもオープンソースです。すごい。

https://github.com/18F/analytics.usa.gov

この記事によると、アメリカ政府のウェブサイトには過去30日間で 4億7,500万回の来訪者がおり、そのうちの 77% が HTTPS のサイトに、58% が HSTS のサイトに来訪したとのことです。

勧告およびデータ

Authorizing and encouraging the use of domain validated (DV) certificates. These certificates can be obtained cheaply or for free, and are generally more amenable to automation. In our experience, expensive “extended validation” certificates offer little to no actual security benefit for federal agencies, and significantly increase the bureaucratic friction to securing connections to agency services.

ドメイン認証型 SSL 証明書を使用することを許可し、推奨します。これらの証明書は安価に入手することも無料で入手することもでき、自動化に適しています。私たちの経験では、高価な EV SSL証明書は、政府機関にとってはセキュリティ上のメリットをほとんど提供しておらず、官僚的な摩擦を大幅に増大させます。

ここでへーと思ったのは、たとえばこの 18F のサイトが Let’s Encrypt を実際に使っているのですが、こういうドメイン認証の SSL 証明書を明確に許可していることですね。

なお、この記事のバックデータも GitHub で公開されていました。

https://github.com/GSA/https

Site Inspector

原文の中で紹介されていますが、数年前に来日したこともある GitHub 社の政府向けエバンジェリストであり、WordPress のプラグイン開発者でもある Ben Balter さんが、ウェブサイトを評価するツールを公開していました。

https://github.com/benbalter/site-inspector

このサイトはすでに HTTPS & HTTP2 を導入済ですが、HSTS はまだなのでやってこうかな。

https://site-inspector.herokuapp.com/domains/capitalp.jp

 

 

 

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください