SSL化
SSLサーバ証明書を導入すると、まずは、ウェブサイトの身元確認ができるようになる。そして、通信自体が暗号化されるため、個人情報などが、途中で抜かれる心配が無くなる。
言うなれば、ショッピングサイトでは、住所や名前の他に、クレジットカードの番号なども入力するだろうから、暗号化は必須だが、そうでなくても、例えば、資料請求フォームなども住所等を入力してもらうわけだから、その情報を保護するのは、今や必須と言えるだろう。
これを実現するために、利用されるのがSSLサーバ証明書というわけだ。
レンタルサーバーでは、共用SSLを提供しているところも多いが、サイトとしては、やはり、独自SSLを使いたいところだろう。
実際、入力画面になったときに、別のドメインにURLが変わってしまうと、昨今のなりすましなどが流行っていることもあり、ユーザーとしては不安な気持ちになるだろう。
独自SSL導入は必須となるだろう。
SEOの為にもSSL化
Googleは、HTTPS(SSL/TLS)であることを検索アルゴリズムとして採用することを発表している。
今後は、HTTPSであるURLと、HTTPのURLでは、HTTPSの方が上位に表示されるようになる可能性があるわけだ。
現状では、ほとんど影響は無いが、今後、重要度が上がってくる可能性はなくはないだろう。実際、httpsとhttpではhttpsのURLが優先されるように変更された。
Googleのみならず、ウェブ全体としてHTTPからHTTPSへと向かっているわけだから、いずれは、全てのサイトがHTTPSになる日が来るのかもしれない。
と言うと大げさだが、企業サイトであれば、SSLの導入を早期に検討すべき時期にきているといえるだろう。
SSLサーバ証明書の選び方
SSLサーバ証明書にもいくつか種類がある。
- EV(Extended Validation)
- OV(Organization Validation)・組織/企業認証
- DV(Domain Validation)・ドメイン認証
最も簡単なのが、DVことドメイン認証だ。
これは、サイトのドメインに関して使用する権利を認証する。したがって、DVでは、他社とよく似たドメインなどでも認証を受けることはできる。そのドメインの持ち主であることを認証するにすぎないので、HTTPSでフィッシングサイトを運営することさえできてしまう。
これは、組織自体の認証をしないために起こりうるリスクなのだが、それが無いのがOVやEVだ。
OVは組織・企業認証などと呼ばれ、DVに加えて、サーバーを運営する組織の存在も認証する。
そして、EVは、OVをさらに踏み込んで認証する。OVより厳しい確認がされるということだ。
これらの組織の確認は、民間信用調査会社などを利用したり、認証局自ら赴いて確認するので、なりすますことは難しいだろう。
認証レベルの話であるから、EVだからDVよりも暗号強度が高いというわけではない。あくまでも認証が信頼できるか否かという話だ。
なお、EV認証されたURLはブラウザ上で緑色で表示されることになっているので、ユーザーにわかりやすくなっている。
従って、不特定多数のユーザーを相手にするWEBサイトを運営するためにSSLサーバ証明書を導入するのであれば、可能な限りOVやEVの認証を得ておきたいところだが、個人レベルであれば、当面はDVでもいいかもしれない。
逆に、イントラネットやサーバー間通信などであれば、DVでも大きな問題はないだろう。
SSLサーバ証明書の認証局(CA)
SSLサーバ証明書を認証する認証局(CA)にはいくつかある。
最も有名なCAは、ベリサインだろう。
そして、ジオトラスト、グローバルサインあたりが次点だろうか。
SSLサーバ証明書の価格
SSLサーバ証明書だが、価格は各社で異なる。認証局でも異なるし、販売会社でも異なっている。
サーバー毎に利用できるSSLとできないSSLがあるので、基本的にはサーバーと一緒に購入・設定がいいだろう。
ちょっと試しにSSL化したい場合や、アフィリエイトサイトなど、さほど気をつかわなくていいケースなら、エックスサーバーやさくらのレンタルサーバーで利用できるラピッドSSLは1年間でも1,5000円(税抜)と破格の安さなので一度試してみてもいいだろう。
クレジットカードの番号を入力したりするようなサイトではやや問題があるが、当サイトのようなサイトなら十分だろう。
もっと言えば、無料のSSLを提供しているレンタルサーバーが一般的になっているので、安く抑えたいのなら無料SSLを利用するのもいいだろう。