見出し画像

SSLサーバー証明書は企業利用でも無料のもので問題ないのか?

クニサワヒサノリ@デジタルマーケティング大学校

Webサイトを運営していれば、今時マストなのがSSLサーバー証明書の導入です。

SSLサーバ証明書とは、Webサイト上の通信を暗号化するにあたって、サーバーの所有者を明確にしたりする電子証明書であり、認証できる企業(認証局)から発行されます。

なぜこれがマストかと言いますと、サイトのURLを「https」にすることでSSL暗号化通信とするためには、証明書がないとエラーになってしまうからです。

そしてそもそも通信の暗号化の流れは、世間のセキュリティ意識の高まりとともにスタンダードな考え方となってきており、Google Chromeなどのブラウザで、暗号化されていないサイトは「保護されていません」と出てしまうなど、例え個人情報を入力するようなフォームがないサイトであったとしても、暗号化されていない=イケてない、セキュリティ意識の低い企業というイメージすらついてしまいます。

もちろん万が一、個人情報を入力するようなフォームがあって暗号化対応していなければ、それこそマズイですしね。

そこで今回は改めてSSLサーバ証明書について考えてみたいと思います。

のSSLサーバ証明書を利用すれば良いのか?

SSLサーバ証明書は有料から無料まであって、様々な種類が存在しています。

デジサートとかグローバルサイン、セコム、ジオトラストとか、いろいろ耳にしますよね。

そこで私がよく企業様から聞かれるのが「どの証明書を使えば良いですか?」ということです。

基本的に選定時の判断基準としては「セキュア性」「価格」「運営母体の信頼性」「実績」などかなと思います。

また認証レベルとして「ドメイン認証」、「企業認証」、「EV認証」の3段会があるので、そこも検討ですね。

いろいろなサービスがあって奥が深いですので、細かく見比べると、細かい違いはあるのですが、難しくなりすぎるので、今回は私はざっくりとした考え方についてご紹介します。

無料の証明書なら「Let's Encrypt」がオススメ

結論から言うと、一般の方は暗号化されているかどうかは気にしますけど、どの証明書を使っているかまではあまり気にしませんので、お問い合わせフォームがあるくらいの一般的なサイトは無料のドメイン認証で十分です。

その中で、イメージが良く、またよく使われていて信頼度が高いものは「Let's Encrypt」で、これはアメリカの非営利団体ISRG (Internet Security Research Group) が提供しているものです。

こちらはドメインのみの認証なので暗号化レベルは低めですが、発行スピードが早く、レンタルサーバーなどではボタン一つで導入できるのが良いです。

難点は3ヶ月ごとに期限が切れるため、まめに更新しないといけないことですが、これも対応しているサーバーでは、毎回勝手に更新してくれるので、負担はないのではないかと思います。

ただ自前のサーバーですと、自分で更新スクリプトを書かないといけないですね。

有料の証明書を導入すべき基準、オススメの証明書は?

しかし、あえて有料の証明書を導入した方が良いサイトもあります。

例えば、クレジットカード情報を入れるECサイトとか、金融系企業のWEBサイトです。

これらは、お金に絡む情報のやりとりがある、あるいはお金のイメージがある企業ですので、顧客もセキュリティに対してシビアな見方をします。

そのため、一段と高くセキュリティに厳しくする必要があるので、デジサート社(旧シマンテック社・旧旧ベリサイン社)のSSLサーバ証明書など、知名度もあって暗号化レベルが一段と高いものを使用した方が良いと思います。

ちなみに、三菱UFJ銀行・楽天銀行・ソニー銀行などではデジサート社、三井住友銀行・みずほ銀行などではサイバートラスト社のEV認証証明書を導入しているようですので、このあたりが日本で使われているトップレベルの証明書なのかなという印象です。

SSLサーバー証明書で迷ったらどうすれば良い?

というわけで、SSLサーバー証明書についてまとめてみました。

基本的にはサイト内で通信する情報の重さと企業イメージを元に判断するのが良いです。

ただ、どの証明書を使っているかまで見る人は相当マニアックですので、ECではない一般企業だったら無料でドメイン認証の「Let's Encrypt」、ちょっと気にするなら企業認証にするくらいで良いのかなと思います。

企業認証の場合は、よく使われているデジサート(ここはちょっと高い)、グローバルサイン、セコム、ジオトラストあたりの商品を選定すればまず問題ないです。

一方で、ECサイトとか金融系とか最高レベルの堅牢性を保ちたいのであればデジサート やサイバートラストのEV認証を導入です。

参考にしていただけたら嬉しいです。

さて、デジタルマーケティング大学校では、企業のデジタルマーケティング活動を支える、コンサルティングや運用代行、インハウス化支援といったサービスをご提供しております。

今回のように、SSLサーバ証明書をどうしたら良いかと言ったこともパパッと解決できますので、ぜひお気軽にご相談ください。

ちなみに弊社では「Let's Encrypt」を利用しています。





いいなと思ったら応援しよう!

クニサワヒサノリ@デジタルマーケティング大学校
この度は私のnoteをご覧いただきありがとうございます。 もしもサポート頂ける場合は、お礼にデジタルマーケティングに関するお悩みにお答えいたします! 追ってお礼メッセージとともにご連絡させていただきます。