更新Microsoft の ASP.NET Core フレームワークで構築された Web サイトへの無料の Let's Encrypt 証明書のインストールを自動化するオープンソース プロジェクトは、Internet Security Research Group (ISRG) からの商標侵害の申し立てを受けて、名前の変更を余儀なくされました。
ISRGは、電子フロンティア財団(EFF)、Google、Cisco、Mozilla、Facebook、IBM、VMware、Akamai、そしてMicrosoft傘下のGitHubなど、多数の企業の支援を受けている非営利団体です。安全なインターネット接続の推進を目的とし、主要プロジェクトはLet's Encryptです。Let's Encryptサービスを利用すれば、誰でも無料でSSL証明書を取得できるため、ウェブサイトで暗号化された接続を無償でサポートできます。Let's Encryptは2015年に最初の証明書を発行しました。
Let's Encryptは現在2億2000万以上のアクティブドメインを認証しています
Let's Encryptは非常に人気があり、統計によると現在2億2000万以上のアクティブドメインを認証していますが、証明書の有効期限が90日後に切れるなど、いくつか不便な点があります。これは、証明書の侵害によるリスクを軽減し、自動更新を促進することを目的としています。
Let's Encrypt 証明書を取得するための主なツールは certbot というスクリプトですが、長い間 Windows では動作しませんでした。現在は Windows 版もありますが、ウェブサーバーの自動更新ができないなどの制限があります。Unix 系オペレーティングシステムを念頭に設計されているため、Windows ユーザーにとっては使いにくいという問題がありました。他のスクリプトも初期から改善されており、Windows 専用のものも含め、多くのスクリプトがここにリストされています。
ネイト・マクマスター氏は、Let's Encrypt がリリースされた当時、Microsoft で働いていました(現在は AWS のソフトウェア開発エンジニアです)。そして、ASP.NET Core アプリケーション向けの Let's Encrypt API を提供するという「趣味のプロジェクト」を立ち上げました。「有効にすると、Web サーバーは起動時に HTTPS 証明書を自動的に生成します」とドキュメントには説明されています。「その後、Kestrel がすべての HTTPS トラフィックでこの証明書を使用するように構成されます。」Kestrel は ASP.NET のデフォルトの Web サーバーです。彼はこのプロジェクトを「ASP.NET Core + Let's Encrypt」と名付けました。マクマスター氏のソリューションは実際にはスケジュールに従って証明書を自動更新するわけではありませんが、将来的にはこの機能が追加される可能性があります。
ISRGは、このプロジェクトが商標ポリシーに準拠していないと判断したようです。「このパッケージの以前のバージョンは『McMaster.AspNetCore.LetsEncrypt』という名前でした。これは、私の名字、.NET Coreのウェブフレームワーク、そしてACMEプロトコルを実装する最も広く使用されている認証局である『Let's Encrypt®』を組み合わせたものです」と、McMaster氏はプロジェクトのGitHub Issuesページで説明しています。
これは何年も前に趣味のプロジェクトとして始めたもので、命名が問題になるとは思ってもいませんでした。このプロジェクトは、Let's Encryptを運営するInternet Security Research Group (ISRG)™️の注目を集めました。先週、彼らは私の元のプロジェクト名が彼らの商標権を侵害していると私に通知しました。このコードはISRGの公式提供ではなく、Let's Encryptを運営する彼らの取り組みを支援したいため、プロジェクト名の変更という彼らの要請に応じました。
彼が選んだ名前は「レタス・エンクリプト」です。「100%オーガニックで、ランチドレッシングとニンジンを添えて冷やして食べるのが一番美味しい」という意味です。
残念ながら互換性を破る変更ではありますが、アップグレードには「最小限の労力」で済むはずです。旧バージョンは.NETパッケージリポジトリであるnuget.orgから引き続き入手可能ですが、現在はサポート対象外です。12月、マクマスター氏は類似の競合ソリューションの存在を理由にプロジェクトの中止を検討しましたが、フィードバックを受けて「このプロジェクトを継続する」ことを決定し、機能に関する提案を募りました。
マクマスター氏が念頭に置いていた主な類似プロジェクトは「AspNet.EncryptWeMust」(自動更新機能付き)という名前で、一体何が起こったと思いますか?「このプロジェクトは以前はFluffySpoon.AspNet.LetsEncryptという名前でしたが、LetsEncryptからの商標権侵害の申し立てがあったため、名前を変更する必要がありました。現在はYoda Speakにちなんで名付けられています」と、メンテナーのMathias Lykkegaard Lorenzen氏は語っています。
Lettuce Encrypt が有用かどうかは、ホスティングシナリオによって異なります。Kestrel でのみ動作し、アプリケーションが Windows Web サーバーである IIS の背後にある場合は動作しません(ただし、ASP.NET Core はクロスプラットフォームであり、Linux でも問題なく動作します)。Azure App Service では動作しません(Yoda-Speak の代替手段は動作します)。Azure App Service は、おそらく ASP.NET Core アプリケーションを Microsoft のクラウドにデプロイする最も一般的な方法です。
Simon Pedersen氏のLet's Encrypt Site Extensionなど、他にも選択肢があります。さらに、Azureの有料ユーザーは、現在プレビュー中のMicrosoft App Service Managed Certificatesを通じて、DigiCertから無料のSSL証明書を取得できます。Microsoftの公式サービスには、ネイキッドドメインをサポートしていないという制限があり、開発者はwwwなどのプレフィックスを使用する必要があります。
強引なやり方なのか、それとも商標を守るために必要な手続きを踏んでいるだけなのか?ISRGにコメントを求めました。®
6月11日08:55 UTCに更新されました。
ISRGは私たちに返答し、その行動の3つの理由を説明しました。まず、「独立した第三者に当社の名称とブランドの使用を許可した場合、当社の評判は彼らの行動に左右され、それは当社では制御できません」と述べました。
第二に、「サードパーティのソフトウェア製品が当社のLet's Encryptブランド名を使用した場合、ユーザーは特定の『Let's Encrypt』ソフトウェアパッケージが当社から提供されたものなのか、ここで問題となっているプロジェクトのようなサードパーティから提供されたものなのか確信が持てず、混乱をきたす可能性があります。」
3つ目は、「商標権を行使しなければ、権利を失うリスクがある」ということです。
サービスのポイントは管理者に証明書の更新を自動化させることであり、公式スクリプトではすべてのシナリオがカバーされていないので、Let's Encrypt と対話するユーティリティを作成する場合はどうすればよいでしょうか。
「Let's Encrypt サービスと連携するクライアントソフトウェアは、ACME 証明書管理プロトコルを実装する必要があります。これは私たちが開発し、標準化に貢献したものです」と ISRG は述べています。「私たちはこのプロトコルをオープンにすることで、あらゆる CA が利用できるようにし、クライアントソフトウェアは同じプロトコルを使用する複数の CA と連携できるようにしました。Let's Encrypt と互換性のあるクライアントソフトウェアには、その名称に「ACME」という用語を使用することをお勧めします。これは、ソフトウェアの機能をより正確に表すと同時に、その使用が私たちのサービスに限定されることを意味するものではないためです。」
