SSLの種類と費用について
2021.10.27
近年、WEBサイトはSSL化が必須の状態となってきています。
WEBサーバーの性能が低かった時代は、サーバーに負荷がかかる為決済等の一部分のみがSSL化されているサイトも少なくありませんでした。
しかし、サーバーのスペックが向上しサイト全体をSSL化出来るようになった現在
GoogleのSEO対策でもSSL化は必須の項目となってきています。
今回はそのSSLの種類と使われ方を解説していきます。
SSLとは
SSLとは、Secure Socket Layerの頭文字、WEBのデータ通信を暗号化するための仕組みです。
SSL化されているWEBサイトはURLが「http://」から「https://」に変更されている為すぐにわかります。
SSL化されているWEBサイトの通信は暗号化される為、セキュリティ的には安心出来ます。
SSL化をするには、SSL証明書を入手してWEBサーバーに設定を行う必要があります。
そのSSL証明書を確認する事で誰がこのサイトの安全性を認証しているのかが確認出来ます。
SSLの種類と費用の違い
SSL化をする為の証明書は、様々な企業がサービスとして提供しています。
無料で使えるものから、1年間千円程度のもの、1年で数万円の物など多岐に渡ります。
この費用の違いはなぜあるのでしょうか?
SSL証明書の種類の解説を通して解説していきます。
SSLの証明書の種類
SSLの証明書にはいくつかの種類があります。
この種類は、SSLの信用度の高さに直結するものとなります。
しかし、通信を暗号化する内容自体はどれも同じとなります。
単純に、WEBサイト自体を何処まで証明(確認)しているのかが異なるのです。
厳密に細かい点まで第三者に証明(確認)されているWEBサイトはそれだけ信用に足るということだと思います。
DV(ドメイン認証)
ドメイン名の使用者として対象のWEBサイトは正しいかどうかを認証しているSSL証明書になります。
証明書を発行しているサービス、企業は対象のドメインが本当に申請者の指定したサーバーで使用されているかを確認して承認してくれます。
WEBサイトの証明レベルはSSLの中では一番低いものとなります。
認証までの時間は早ければその日のうちに完了する為とても早いと思います。
OV(実在証明型)
WEBサイトのドメイン名に加え、会社名も認証します。
こちらの場合は、ドメインの使用サーバーの認証もありますが、追加してWEBサイトを運営している企業の会社名が正しいものなのかまで認証します。
WEBサイトの証明レベルはSSLの中では高いものとなります。
次に解説しているEVに比べると運営会社の認証は厳格ではないですが、間違いなく存在している企業が運営していることまでは証明されているのでフィッシングサイト等にOVが使われる事は稀です。
また、Googleは近年WEBサイトの運営者情報を重視してきている傾向がある為SSL証明書もOV以上が望ましくなる未来もあるのではないでしょうか。
郵便物等で所在地まで確認している場合もあり、認証までに時間がかかる場合があります。
Googleが使用しているSSL証明書はこちらの種類となります。
EV(実在証明拡張型)
WEBサイトのドメイン名に加え、会社名も認証するのでOVと同じ様に見えます。
しかし、こちらはより厳密に運営企業情報を認証します。
WEBサイトの証明レベルはSSLの中では最も高いものとなります。
認証には様々な企業の情報を認証していくため1ヶ月以上認証に時間がかかることも珍しくないです。
こちらの種類のSSL証明書を使っているWEBサイトはブラウザのアドレスバーにあるSSLの鍵のアイコンが緑色の組織情報になっています。
こちらの種類の証明書の場合、目視ですぐ確認でき更に、この種類のSSL証明書を使っているのは決済システムやネットバンキング等お金を扱う所も多いです。
ですので、WEBサイトを使うユーザーもお金や個人情報を扱う場合は緑色の組織情報に注目することでWEBサイトの安全性を確認出来るようになっています。
つまり、SSLの費用の違いは上記の種類による所が大きいという事になります。
EV、OV、DVの順でSSL証明書の費用が高い傾向にあります。
よくある千円程度のSSL証明書は殆どがDVのものになります。
無料で使えるSSL
無料で使用できるSSL証明書もあります。
ただし、中には完全に費用がかからないといわけではないものもあります。
大きく分けて無料で使用できるSSL証明書は3種類になります。
全てが完全に無料であるSSL(証明書)
「Let’s Encrypt」というSSL証明書が完全無料です。
このSSL証明書は申請等、SSL証明書を提供しているサービスが行っている部分を自分で行わなけれなならない点や、有効期限が90日である為、頻繁に更新対応を行わなければならないという点が特徴です。
さくらのレンタルサーバやKAGOYA(カゴヤ・ジャパン)等の有名レンタルサーバーが提供しているSSL証明書もこちらで発行された証明書を発行するツールをサーバー側で用意してくれているというサービスが無料で提供されているようです。
非営利団体の ISRG (Internet Security Research Group) が認証局を運営しており、無料SSLサーバー証明書であるLet’s Encryptを提供しています。
CCNAなどで有名なシスコや大手CDNのAkamai(アカマイ)、FireFoxを提供しているMozilla等がスポンサーをしている為、技術的な問題や手間がなければ小さなサイトや決済がないようなサイトの場合は問題が無いかもしれません。
開始○年無料であるSSL
中国のSSL証明書発行代理店等に多いタイプです。
注意しなくてはならないのは、契約内容の変更、解約が有料の場合や
2年目の有料化が自動で行われてしまう場合もあるので無料とうたわれていても結果費用がかかってしまう場合があります。
オレオレ証明書
正式名称は自己署名証明書と言います。
SSL証明書を発行するサービス等を介さず自分で証明書を作成したものです。
通信の暗号化はその他の証明書と同様に行われますが、第三者が認証を行っている訳ではない為、安全性が保証されていない証明書という扱いになります。
近年では承認されていない証明書の発行元の場合、ブラウザが警告を出す場合もあり通常のWEBサイトで使用してしまうと信用を残ってしまう場合があります。
現在は主にWEBシステム開発の際の開発環境等、一般公開されないが暗号化が必要な場合に使われます。
SSLの証明書の発行元は重要なのか
ここまで様々な種類のSSL証明書の紹介しました。
その中で、無料で発行出来る証明書や、格安の証明書、高額で運営企業まで認証を行う証明書等がありました。
暗号化自体はどれも同じという事は、無料のものや格安のもののほうが良いのかというとそういうわけではありません。
一般のユーザーが証明書の発行元や、証明書の種類まで確認することは稀でしょう。
しかし、近年はWEBサイトの運用情報をGoogleが重要視している傾向があります。
また、ユーザー登録が必要なサービスの場合、個人情報を渡す事になる為、ITリテラシーの高いユーザー等は証明書を確認するでしょう。
その際怪しい発行元だった場合、SNS等で拡散してしまう可能性もあります。
SSL証明書は、第三者が認証を行うという性質上、証明書を発行発行したサービスや企業の信用度がそのままWEBサイトの信用度につながると言ってもいいでしょう。
完全無料のSSLやオレオレ証明書は一時期フィッシングサイト等でよく使われていました。
フィッシングサイトと本物のサイトの差別化の為にも自身で信用がおける場所でSSL証明書は発行してもらうことが重要と言えます。
関連