最近のWebサイトの案件では、全サイトSSLをご提案させていただいています。


SSLとは?

SSLとはSecure Sockets Layer の略で、インターネット上の通信を暗号化する技術のことです。

Webサーバとの通信を暗号化することで、第三者によるデータの盗聴や改ざんなどを防ぐことができます。

アドレスがhttps://から始まっているサイトですね。

昔はお問い合わせフォームやショッピングカートなど、個人情報を入力して、サーバーに情報を送信する箇所だけ使われていました。

Googleが、常時SSLを実装しているサイトをSEO的に優遇する、という発表があってから、続々と全サイトSSL化を実装するところが増えて来ています。

昔は通信を暗号化すると、表示速度が遅くなると言われていた時代もありましたが、

最近のPCやスマートフォンのスペックであれば、そこは全く問題ありません。

SSLを実装するには?

WebサーバーにSSL証明書というのをインストールする必要があります。

SSL証明書はいくつもある発行会社に申請を行い発行してもらいます。

レンタルサーバーの場合は、レンタルサーバー会社に発行された証明書をサーバーにインストールしてもらいます。

VPSや専用サーバーなど、root権限を与えられているサーバーの場合は、サーバー管理者自身がインストールする必要があります。

SSL証明書には3つの種類があります。

  • ドメイン認証(Domain Validation)
  • 企業実在認証(Organization Validation)
  • EV証明書(Extended Validation)

一番低価格で、証明書が発行される時間も短いのがドメイン認証です。

ただしあくまでドメインのみが認証されるだけであり、通信が暗号化されることを保証されるだけです。

イントラネット内のサイトであれば、価格も安いので良いと思います。

次に最も多く使われているのが企業実在認証です。

これはドメインとその保有する企業の実在が両方証明されます。

申請にも登記簿謄本の提出が求められたり、本人確認の電話があったり、帝国データバンクなどの第三者の情報があるかなど、運営企業の実在性が厳格に問われます。

よくこのサイトはSSLで証明されてますよ、というバナーがありますよね?

これをサイトシールと呼ぶのですが、サイトシールは企業実在認証かEV証明書でしか使えません。

ill_siteseal.png

最後のEV証明書です。

企業実在認証証明書よりも厳格な審査があります。

主に金融機関や大企業で採用されています。

インターネットブラウザのアドレスバーが緑になったのを見かけたことがありますよね?

これがEV証明書です。

フィッシングサイト(詐欺サイト)ではないですよ!という証明ですね。

メールのリンクをクリックしたら、インターネットバンキングのサイトに飛んだ。

でもアドレスバーは緑ではなかった。

はい、これがフィッシングですね。

SSL証明書の発行会社について

発行会社って結構あるんですよ。

業界的に最も有名なのはベリサインさんですかね。

今はノートンアンチウイルスでお馴染みのシマンテック社に買収され、

シマンテック・ウェブサイトセキュリティという会社になっています。

フォローウインドで取り扱っているのはGMOグローバルサイン社の証明書になります。

あとはセキュリティでお馴染みセコムさんの関連会社、セコムトラストシステムズ社も有名ですね。

他にもあるんですが、ここからは個人的な見解です。

どの発行会社に証明書を依頼しても、同じタイプの証明書の種類であれば、セキュリティの面からは差異はありません。

でも発行会社によって、価格差がかなりあります。

これは証明書のブランドで判断するしかありません。

僕の様なSIerですと、格安証明書っていうだけで、信頼性が落ちます。

単なる偏見かもしれませんが、やはりWebサイトに対して、どれだけ気をつかっているか?

そこを見てしまいます。

当時、ベリサインは価格が最も高かったのと、証明書の種類が少なかったので、

フォローウインドでは当時、業界2番手のグローバルサイン社をパートナーとして選択しました。

SSL証明書には期限がある

インターネットバンキングなどで利用する電子証明書も有効期限ありますよね?

SSL証明書にも有効期限があります。

複数年契約すると割引されることもあるので、

どうせ申請するなら長い方がお得です。

ドメインが変わらない限り、証明書は有効です。

サーバーが変わっても使えます。

お財布と相談して、契約期間を決めると良いと思います。

また最近では、1つの証明書で複数のドメインを認証できるものも出て来ました。

昔は1ドメイン、1SSL証明書だったので、SSLが必要なドメイン分だけお金がかかっていたのですが、

当時と比べると運用コストもだいぶ下がっています。

いずれにしてもこれからは全サイト常時SSLの時代が来ます。

Webサイトを運営する以上、必要なインフラと考え、予算を組んだ方が良いですね。

*フォローウインドのサイトも年内に常時SSL実装予定です。

(山下 史彦)