常時SSL化時代に最低限知っておくべき SSLサーバ証明書の選び方

2015年9月14日

急激に進む常時SSL/TLS 化

個人情報を扱うフォーム画面などでは必須となっているSSL/TLS（Secure Socket Layer/Transport Layer Security）。これは通信を暗号化することでセキュリティを強化し、第三者によるデータの盗聴や改ざんを防ぐ機能だが、ここ数年はサイト全体の「常時SSL/TLS化」が大きなトレンドとなっている。

「近年は公共無線LANなどセキュリティの低い環境から接続するユーザーが増えており、盗聴被害が非常に増えてきています。そこで、従来のようにパスワードやカード番号といった個人情報を入力するページだけではなく、サイト全体をSSL/TLS 化して常に情報が安全に保たれている状態を作ろうというのが主流の考え方になっています」そう語るのは日本ジオトラストの佐藤範絵氏。

Internet Explorer の場合、SSL サーバ証明書を取得しているサイト（EV認証型) はアドレスバーがグリーンで表示され、組織名も表示される。実在証明型（OV）の場合は、鍵のアイコンがグリーンになる。SSL 化されているページやサイトのURL は「https://」から始まる。一方で、SSL サーバ証明書を取得していないサイトのURL は「http://」になり、鍵のアイコンも表示されない

とはいえ、大事だとわかってはいてもセキュリティに関する投資はどうしても後回しになってしまうのが実際のところ。だが、常時SSL/TLS 化を行うメリットは他にもある。

Google は去年の8 月にhttps 接続のサイトを有利にランキングに計上するとコメントを発表したことからページランクへの影響があることもわかっているほか、今年8月にはYahoo! 検索もSSL 化を発表するなど、Web全体がhttps化へ進むのは間違いない。

さらに、常時SSL/TLS 化を行うと「httpsからhttpへの通信はリファラー（参照元）情報が送出されない」というアクセス解析上の大問題を解消できるのも大きなメリット。すでにSSL 対応しているFacebook、Twitter といった大手SNS からのリファラー情報を漏らすことなく取得できるようになれば、詳細な参照元がわかるためWebマーケターや、クライアントにWebサイトの構築・改善を提案するWebディレクターには見逃せない大きなメリットだろう。

ベンダーは信頼度で選ぶ

SSL サーバ証明書には通信暗号化のほかにもサーバを認証する要素があり、これによってなりすましを防ぐこともできる。こうした認証に使用されるSSL サーバ証明書は認証方法の違いにより3つに分類される。

「ドメイン認証型（DV）は最短2分で取得でき、スピーディーさと手頃な価格が魅力です。ただ、ドメイン使用権を保有してさえいれば発行できるため、不特定多数が訪問する一般公開サイトには不向きです。企業認証型（OV）は、ドメイン使用権の保有に加え、登記事項証明書などによって組織の法的実在性を確認した上でなければ発行されません。これによってドメインを所有する実在の組織がサイト運営者であることがわかるため、サイトのなりすましを抑止できるメリットがあります。そして企業認証型よりも厳格な審査が行われるのがEV認証型（EV）。これはブラウザのアドレスバーが緑色になり企業名が表示されるため、ユーザーにより安心感を与えることができます」（佐藤氏）

このようにSSL サーバ証明書はタイプによって違いがあるため、Webサイトの用途や目的にあわせて適切な証明書を選ぼう。