2018年7月にリリースされたGoogle Chrome 68からHTTPサイトは無条件に「保護されていません」と警告が出るようになったことを受け、いよいよ全サイト常時SSL化が必須となってきた。HTTP/2による表示速度向上などの恩恵も受けることができることもあり、弊社では常時SSL化を強く推奨している。
今回はSSL証明書の種類についておさらいしょう。
SSL証明書は大きく分けて三種類ある。
- ドメイン認証型
- 企業実在認証型
- EV認証型
の3つだ。
それぞれの違いをみていく前に、多くの人が勘違いしていることとして「高価な証明書はより暗号化強度が高くて安全」という誤解がある。
これは大きな間違いで、無料のものから年間数十万円する証明書まで暗号化強度は同じである。高いものほど安全なわけではない。
違うのは証明書の発行元と証明書を取得するまでの認証プロセスだ。違いをみていこう。
ドメイン認証型
最も手軽に取得できるタイプ。独自ドメインを所持さえしていれば、ネット上からポチポチで申請可能。数年前まではどんなに安くても月額1000円ほどの費用が必要だったが、2016年からLet’s Encryptにより無料で入手できるようになった。これにより世の常時SSL化が飛躍的に推進した。
企業(サイトの運営元)の存在が保証されないので、利用シーンとしては特段個人情報の取り扱いのないサービスサイト、メディアサイトならこれでいいだろう。
今でもシマンテックやジオトラストなどから有料で販売されているが、ドメイン認証型を用いるのであれば特段有料のものを選ぶ理由はない。強いて言えばサイトシールが貼れることくらいだろうか。
有料のものの場合、価格は年1万円程度。
企業実在認証型
ドメインの所持だけでなく、企業(サイトの運営元)の実在を証明する。第三者のデータベース(帝国データバンクなど)による照会、または登記簿謄本が必要となることに加え、電話による申請者の確認も必要となる。
利用シーンとしてはコーポレートサイトや個人情報を取り扱いログイン機能などのあるサービスサイト(SNSのような)になるだろうか。
価格は年5~10万円ほど。
EV認証型
最も厳格な証明書。企業実在型では法的存在を確認したが、これに加え物理的に企業が存在し、実際に活動しているかどうかまで確認される。
アドレスバーが緑色になり、企業の名称が表示されるようになるため、一目で安全性を与えることができる。
利用シーンとしては、金融機関など絶対の信頼性が求められるサイト、または企業ブランドのブランディングの一貫としても意味をなすだろう。
価格は年10~20万円とかなりお高いので、これが必要であるかはよく検討するべきだろう。
まとめ
- SSL化はもはや必須
- 高価だからといってより安全なわけではない
- ドメイン認証でいいなら無料のでOK
- 企業実在・EVが必要であるかどうかはよく検討しよう
