冨山陽平のブログ “思いきり やりぬく”

ITの適正活用,ウェブサイト,セキュリティ,中小企業,情報機器,ITの適正活用、組織風土改革、従業員満足度調査、これあらた、久留真家、冨山陽平

冨山陽平のブログ 思いきりやりぬく
  • 05
    Mar
    2018
    2018/03/05 (月)
  • SSL証明書は意外に種類が多く選ぶのに困る?

 SSL証明書に関連して、「社内のIT管理の担当者だけれども、エキスパートではない」という方にいただく質問として多いものは、以下のとおりです。

  • 【暗号化の必要性】問い合わせフォームやクレジットカードを入力する画面だけ、HTTPSにすればよいのでしょうか?
  • 【いくら払えばよい?】SSL証明書の値段は、信頼性と比例するのでしょうか?
  • 【選び方】SSL証明書にもいろいろな種類があるようですが、どれを選べばよいのでしょうか?
  • 【激安!は不安?】社長からはできるだけ安く!と言われていますが、ネット上でSSL証明書激安!ってなっているものは、やはり不安な証明書なのでしょうか?
  • 【緑のバーになるようにする価値は?】ブラウザのアドレス欄を緑のバーにするためには、高い証明書が必要だと聞いたけど、どういった価値があるのでしょうか?
  • 【ブランドの違いは?】色々な証明書ブランドがあるようですが、会社によって信頼性は違うのでしょうか?
  • 【検索順位に影響あるの?】HTTPSではじまっているかどうかで検索順位に影響はあるのでしょうか?

などなど。様々な質問を頂戴いたします。

 そもそも、SSL証明書とはなにか。実はかなり複雑なしくみですので、簡単に書きます。発行会社に頼んで作成してもらうSSL証明書は、閲覧者とウェブサーバが通信する際に、主として以下の3つを証明できます。

  1. その通信路の暗号化が第三者的に信頼できることを示すこと
  2. ドメインの使用権を確認すること
  3. サイトの運営組織が実在していること

基本的に、1と2はどの証明書にもあります。3の有無によって、金額が大きく変わります。

 つまり、SSL証明書は、以下のように3つの分類があります(SSL証明書の種類の詳細は、日本ジオトラスト株式会社のSSL証明書の選び方を説明しているページがわかりやすいので、そちらをご参照ください)。

  • ドメイン認証型(DV:Domain Validation:ドメインのみ認証つまり、1と2のみ認証する証明書)
  • 組織実在認証型(OV:Organization Validation:ドメイン+組織の認証つまり、1,2,3すべてを認証する証明書)
  • EV認証型(EV:Extended Validation:基本は組織実在認証型と同じだが、より精度高く3を調査する証明書)

 ブラウザで一目みたとき、EVだけはアドレスバーが緑になるので区別がつきますが、DVとOVは区別がつきません(もちろん、証明書に中身を確認すれば区別ができます)。ですから、閲覧者の見た目という意味では、DVとOVは変わらず、EVだけがはっきりと違いが示されます(2018年3月現在です。Google Chromeを中心に、このあたりの判別精度を高めようと取り組んでいるので、いずれはDVとOVの区別がなされるものと推察しています)。

 この前提で、価格に影響を与える主な要因は以下の3つです。

  • DV、OV、EVという認証の種類(いうまでもなく、EVが一番高い)
  • 認証局のブランド価値(具体的には示しませんが、原則としてブランドによって品質は変わりません)
  • 販売する代理店(大量に仕入れて大量に販売するところのほうが、認証局から安く購入できているので、当然販売価格が下がります。一般に、海外代理店のほうが安いです。)

これは私の考え方ですが、現状のブラウザの対応であれば、OV型にあまりメリットはないと思っています。どうせ証明書を買うなら、少しお金を上乗せして、バーの色がはっきりと変わるEV型にしたほうがいいですし、そこまででもないというのであれば、DV型で十分だと思っています。

 もちろん、情報セキュリティにかかわるものとしては、DV型のデメリットも承知していますが、OV型を採用する費用対効果には懐疑的です。

 当社でもお客さまからのご相談を受けて、二次代理店として販売することがありますが、OV型を薦めることはありません。むしろ、EV型を安く仕入れて販売するようにしています。

  • 2018/03/05 (月)

ITの適正活用

, , ,

コメントを残す