個人でEV SSL証明書が欲しい話 - Speaker Deckを読んで驚いたんだけど、いつの間にかFirefoxにはEVSSL証明書のルート認証局がハードコーディングされて、それを書き換えるにはブラウザをビルドし直す必要があるらしい。(というかリビルドしても追加した証明書でアドレスバーが緑色にならなかったみたい。何が足りないのかな?)ルート証明書そのものは後から足せるのだが敢えてハードコードした理由は想像できる。ルート証明書なんて後から侵入者なりマルウェアが簡単に足すことができるし、現にそういった攻撃はこれまで行われてきたからだ。
ついでにFirefoxが近々DHCPで降ってくるDNSを信用するのを止めて、DNS over HTTPSでCloudflareに問い合わせるという。これもまたDNS履歴を監視する国だとか、日本も含めてWeb検閲のためにDNSをいじってる国があって、そういった影響を排除しようというのだろう。まだ開発用のFirefoxで性能などの統計を取っている段階だが、遠からず実装されそうだ。 ungleich Blog - Mozilla's new DNS resolution is dangerous (追記:リンク先はTRRがデフォルトで有効とされることを前提に書かれているが、現時点でMozilla財団からそのようなアナウンスはない)
元々のインターネットはオープンにつくられていて、何であれ後から勝手に設定を置き換えることができた。IPアドレスであれ、DNSであれ、The Internetに繋ぐためにはルールを守る必要があるけれども、閉じた世界であれば好き勝手にいじることができた。SSLができてからもそのルールを踏襲して、ブラウザに標準バンドルされているルート認証局は決まっているけれども、利用者の操作で後から抜き差しできるようになっている。
しかしながらこれらは魅力的な攻撃界面でもあって、マルウェアがhostsをいじって接続先を曲げるとか、MITM攻撃のために余計なルート認証局をインストールするといった攻撃が成り立つ温床でもあった。信頼できる証明書をハードコードして、DHCPでどんなアドレスが降ってきても、世界中で決まったリゾルバに対して問い合わせを行えば、そういった攻撃を回避することができる。
現実問題として僕ら利用者の大半は信頼できるルート認証局を自分で選ぶ能力も、信頼できるDNSサーバーを自分で選ぶ能力も持ち合わせてない。設定を変えてレスポンスの速い遅いに一喜一憂したり、ブロッキングを迂回するために海外のDNSを迂回するくらいが関の山だろう。重要なパラメーターを書換可能とすることのリスクとベネフィットを比較衡量して、今とは別のバランスに傾きつつあるようだ。
遅かれ速かれGoogleも似たような判断で、Chromeの問い合わせ先DNSサーバーをGoogle決め打ちとするかも知れない。その方が速いしユーザーのプライバシーを保護しやすいと考えてもおかしくない。Microsoftはもうちょっと複雑で、法人顧客を持っているとActive Directoryの名前空間との関係をどうするかも考える必要がある。GoogleであれMicrosoftであれMozillaと比べれば各国当局との窓口を持っていて、もうちょっと柔軟に折り合いを付けようとするだろう。Appleがどう考えるかは予測が難しい。
Mozillaは決め打ちで参照するDNS over HTTPSサーバーのことをTrusted Recursive Resolverと呼んで、まずはCloudflareに向けるようである。何がTrustedかというとMozillaが信じてるということだろう。DHCPで渡されたIPアドレスに聞きに行くよりは、HTTPSだからサーバーの真正性を確認することも簡単だ。どこかの国のISPのように利用者を監視したり、都合の悪いサイトについて応答を返さないといった挙動をしないことも期待できる。これまでの実績からいって、各国のISPよりは空気を読まず、国家権力からの干渉を受けずに、中立的なサービスを提供するのだろうか。
しかしCloudflareであれGoogleであれ米国の企業で、たまたま今のところ米国以外のISPと比べて自由を謳歌しているように見えるけれども、いつ何時どんなポリシー変更が起こるか分かったものではない。置き換え可能な状態でISPのDNSサーバーが参照されるのと、ブラウザにハードコードされて特定のDoHサーバーに参照されるのとでは、だいぶ意味合いが異なる。ある日突然、深刻なマルウェアのC&Cサーバーなりテロ支援組織と名指しされた誰かのDNS名を引けなくなっているかも知れない訳だ。それも利用者が気付かないかたちで。
かつてインターネットはレイヤー化されたオープンなネットワークで、OSを支配しようが、ブラウザを支配しようが、ネット全体を掌中に収めることはできず、中国が金盾を築いたり、米海軍の配ったTorでDarkWebの世界が広がったりしてきた訳だ。ところが気付いたらWebがPKIやDNSといったレイヤーを飲み込んで、国やキャリアに左右されない世界をつくろうとしている。それもOSとクラウドを握っているGoogleやMicrosoftではなくブラウザしか持ってないFirefoxが率先して進めているのはどういうことだろうか?と考えてみると面白い。
もし仮にレイヤー毎にモジュール化されて各プレーヤーが国や知識と折り合うことのできたオープンなインターネットから、ブラウザ、認証局、DNSサーバーなど決め打ちでコントロールできない堅牢なWebへと世の中が移った場合、各国政府はどう向かい合うのだろうか?Bugzillaに要望を出して、その答えに一喜一憂するのだろうか?これまでやってきたブロッキングはどう見直すのだろうか?DNSブロッキングは成り立たなくなってパケットを落とさなきゃ遮断できなくなる。それとてTorよりも軽いオーバーレイ・ネットワークや、もっと効率的かつアクセス網の干渉を受けにくいCDNとの連携プロトコルが出てくれば迂回できてしまう。それらは強権的で厳格な言論弾圧を行う国々の利用者に対して、政府の頭越しに自由な情報の流通を実現するのだろうか。
こうした軍拡競争の先に何があるのか読みづらくはあるけれども、レイヤー化された世界の中で、足回りを担うプレーヤーに対する統制を通じて、上位層をコントロールすることは徐々に難しくなるのではないだろうか。コンテンツの中身をコントロールするのであれば、堂々とアプリケーション層で統制をかける必要が生じる。マルウェア監視にしても、コンテンツの遮断ポリシーにしても、網ではなく端末で制御する必要がある。端末でも以前のフィルタリングソフトのようにOSとブラウザの間に入り込むことは難しくなって、ブラウザ拡張として決められた手順を介してしか、コンテンツの中身に対して干渉できないようになりつつある。
セキュリティやプライバシーの強化という名目には抗い難い。けれども結果として起こっているのは、それぞれ寡占化が進んでいるブラウザとCDNとが結託し、ISPや政府といった「中間者」の頭越しにポリシーを自由に決められるアーキテクチャの構築だ。それらがGAFAよりも先にMozillaやCloudflareによって齎されつつあることの意味を重く受け止める必要がある。例えばGPKIルート認証局の件ひとつとっても、今のところMozillaよりはGoogle、Microsoft、Appleの方が柔軟で話し合いが成り立っている。
870185 - Add Renewed Japanese Government Application CA Root certificate
現実的な法執行が及ばずコードによって規定される世界では、ラフコンセンサス&ランニングコードで動くグローバル・コミュニティとの対話スキルを身につけない限り、頭越しにスルーされてしまう。一方で法的な影響力をどう行使するかも国際競争となっているし、例えばGDPRがwhoisに与える影響なんかもも、そういった文脈の中で見ていく必要がありそうだ。
ICANN or ICAN'T? WHOIS search results in the era of GDPR - Lexology
いずれにしても米中欧がそれぞれ得意な統制を強めて軍拡競争がエスカレートする限り、日本は振り回される展開が続くだろう。その中でルールやコードに対する影響力を確保し、規格の中に押し込むなり、実質的に担保したいことを実現するための方策を磨いていく必要がある。そのための費用や労力を誰が負担するのだろうか。