本文へジャンプ

意外と知らない? SSL証明書の種類と選び方

Posted by MONSTER DIVE

突然ですがみなさん、SSL証明書ってご存知ですか?

しかもそれが3種類あるってご存知でしたか?

blog20200706_1.jpg

私も最近まで1種類しか知りませんでした ( 勉強不足ですすみません。w

そこで今回はSSL証明書とはなんなのか。また種類や料金・証明書の取得手順などについて調べてみましたので、是非最後までお付き合い頂ければと思います!

SSLとは

念のためSSLについての説明から入ります。

Secure Sockets Layer - ネットスケープコミュニケーションズ(Netscape)が開発した、インターネット上でのセキュア通信のための通信プロトコル。セキュリティの脅威が増してきたことから、次世代規格の Transport Layer Security の実装に移行している。 (wikipediaより引用)

要するにSSL証明書というのは、 このWebページはセキュリティ的にも安全なページなのでアクセスしても大丈夫ですよ〜 ということを証明するものです。

例えばクレジットカードの情報などは通常暗号化されて送信されていますが、SSL認証のないページであると、暗号化されずそのままクレジットカードの情報が送信されてしまい、悪意ある第三者にカード情報を盗まれてしまう可能性が高くなってしまいます。

また、SSL化するとURLがhttps://〜 となります(SSL化されていない場合は、http://〜 )。
最近ではSSL化されていないサイトは信頼性が低いとして規制が強まっていて、Google Chromeでも『保護されていない通信』とURL部分に警告が出るようになっており、SSL化はサイト運営には必須事項となっています。

SSL化されていないサイトの場合、検索順位が低くなったり、ページの表示速度が遅くなってしまうというような悪影響もあります。

下のようにSSL化されていないサイトの『保護されていない通信』部分をクリックすると注意喚起が表示されるようになっています。 blog20200706_7.png

SSL証明書の種類

さてここからが本題です。 SSL証明書には次の3種類があります。

  • ドメイン認証
  • 企業実在認証
  • EV認証

それでは詳しく一つずつ見ていきます。

ドメイン認証

これは聞いた事がある方も多いと思います。 Let's Encryptが有名ですかね。

AWSを利用している方は、AWSのACM(AWS Certificate Manager)を利用した事がある方も多いのではないでしょうか。
認証レベルとしては一番低いですが、取得にかかる時間が短く安価で取得する事ができ、上記の2つのようなサービスを利用すると無料、なおかつ数時間で取得する事もできます。

では、どういった認証なのかというところですが、名前の通りドメイン名を取得した人や企業と申請者が一致していれば得られるものとなっています。

基本的にはメールでの認証のみで完了してしまうことが多く、認証する側のコストが抑えられているということも価格が安くなっている理由の一つです。

取得を行って設定すると、サイトのURLの左側には下のように鍵のマークが付きます。 blog20200706_3.png

ドメイン認証は、信頼できるWebページかどうかの基準となるものでもあるため、お客様からの信頼を得る意味でも、企業のコーポレートサイトなどには必須と言え、また短期的に公開されるキャンペーンページなどにも利用されたりしています。

企業認証

こちらは馴染みのない方もいらっしゃるかもしれません。
企業実在認証とは、上記のドメイン認証の内容に追加して、証明書に記載される組織が法的に存在するということも確認できた場合に発行されるものです。

証明書に記載される組織名は偽装ができないため、ウェブサイトにアクセスするユーザは、上の図にある赤丸部分の鍵マークをクリックし証明書の詳細を確認することで、サイトを運営している企業の所在地まで確認する事ができます。 blog20200706_5.png このようにYahoo!の所在地は千代田区であるという事がわかりますね。(どうでもいいw

ただし、この証明書発行には時間とお金が少しかかります。
発行費用:年間5万〜10万円程度。発行期間:1日〜5日程度

主に利用される場面としては、上のようなYahoo!のサイトであったり、SNSや会員制サイトのようなWebページの信頼性が確保されている事が好ましいサイトに利用されています。

EV認証

いよいよ3つ目です。
もしかしたらこちらは知らない方も多いのではないでしょうか。
EVとはExtended Validationの略で、CA/ブラウザフォーラムという全世界の主要ブラウザベンダーと認証局とによって統一された基準で発行される唯一の認証と言われています。

前述のドメイン認証と企業認証、二つの認証内容に加えて、登記簿謄本の提出による法的実在性の確認や、組織の所在地、申請責任者が実際に企業に在籍しているのかなどの電話確認も複数回行われ、まさに世界最高水準の認証となっています。

つまりこの証明書を取得しているサイトは 「世界基準の厳格な認証を通過した信頼できるサイト」 であると言えます。

EV認証を取得しているWebサイトの証明書には下の証明書のようにシリアルナンバーも付与されています。(某銀行のホームページの証明書です。) blog20200706_6.png

EV証明書の入手には、企業認証よりもさらにお金と時間がかかります。
発行費用:年間10万〜20万円程度。発行期間:1週間程度

EV認証の証明書を取得する事が好ましいサイトは、住所や決済情報を扱うオンラインショップであったり、お金を扱うネット銀行などの重要な情報を扱うサイトとなります。

最後に

いかがだったでしょうか。
認証の種類によって暗号化の強度が変わるといったことはありませんが、みなさんもWebサイトを構築する際はそのサイトの用途に合わせて上記の3つの中からSSL証明書を選択して取得しましょう!

また自分がWebサイトにアクセスする際はくれぐれもSSL化されていないサイトにはアクセスしないように気をつけて下さいね!

MONSTER DIVEではサイトの構築から、サーバーの管理やこういったSSL化の対応まで幅広く扱っており、実績も多数ございますので、 サイト構築などでお困りのことがあればぜひ当社にご相談下さい!

Recent Entries
MD EVENT REPORT
What's Hot?