SSLは無料と有料で何が違うの!?今さら聞けないSSLの仕組みと導入のメリット
(この記事は2022年9月29日に更新されました)
「SSLっていう言葉、よく聞くけど、どんな意味なんだろう?」
「自分のWebサイトをSSL化する必要ってあるの?」
「無料のSSLと有料のSSLって、何が違うの?」
こんにちは。
京都のWebプランニング会社「ウェブライダー」の松尾です。
某社のレンタルサーバーからCPIのサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。
現在、ウェブライダーでは、CPIの専用サーバーと共用サーバーのふたつを借り、さまざまなWebサイトを運営しています。
さて前回、Webセキュリティに関する記事を書きました。
Webセキュリティを語る上では、「SSL(Secure Sockets Layer)」についての話は外せません。
SSLとは、インターネット上の通信を暗号化する技術のこと。
この技術はネット上のさまざまな場面で使われており、たとえば「ショッピングカート」や「お問い合わせフォーム」といった個人情報が入力される場面でよく使われます。
実は、インターネット回線を介したネット上のやりとりは、盗み見られる可能性があります。
たとえば、電話機をイメージしてください。
電話機の回線に盗聴器を仕掛ければ、電話の内容は盗聴できてしまいますよね。
それと同じで、インターネット回線を介したネット上のやりとりは、第三者によって傍受される恐れがあるんです。
ただ、その傍受された内容が「意味のわからない暗号」になっていたらどうでしょう?
日本語でやりとりされているはずの文字列が、謎の暗号に変わっていたら、通信を傍受したとしても、どんな内容のやりとりだったかを理解することはできません。
SSLとは、まさにその、インターネットを介してやりとりされる情報を暗号化する技術のことを指します。
現在では、「ショッピングカート」や「お問い合わせフォーム」などの特定の場面で使われるだけでなく、Webサイトにおけるすべての場面でSSLが使われることが増えています。
専門用語でいうと「常時SSL」の時代に突入しているんです。
なぜ「常時SSL」が主流になったのかというと、現在のほとんどのWebサイトでは、Webサイトの訪問者がどんなページを見ているか?どんなページを好むか?といった情報も取得しているからです。
つまり、そういった情報も暗号化しておかないと、訪問者は安心できません。
だから、お問い合わせフォームだけでなく、いっそのこと、Webサイト全体をSSL化したほうがいいよね、という流れが広がりました。
その流れの中で、あのGoogleもWebサイトのSSL化を啓蒙し続けています。
たとえば、2014年には「SSL化されているWebサイトを評価します」という発表をおこなったのです。(Googleウェブマスター向け公式ブログの記事)
(※ただし、SSL化したからといって検索順位がグンと上がるわけではなく、あくまでも、Googleのランキングシグナルの一要素としての評価です)
上記のように、今、ネット上ではより安全なWebサイトが求められています。
つまり、あなたのWebサイトがSSL化できているかどうかは、あなたのWebサイトが安全だということを外部へアピールする上で、とても大切なんです。
というわけで今回は、「SSL(Secure Sockets Layer)」に関する学びを深めていただきたく、SSLに関するさまざまな話をします。
たとえば、SSLには「無料」と「有料」のものがあったり、三段階の「認証レベル」があったりします。
そういった、SSLにまつわる難しい知識をできるだけわかりやすく説明しますので、ぜひ最後までお読みくださいね。
●このページの目次
ディスク容量【500GB】集中アクセスに強い、KDDIグループのサーバー
法人向け CPI 共用レンタルサーバー(10日間無料お試し付き)の利用はこちら >
SSLの2つの役割
冒頭で説明しましたが、SSLには大きな役割があります。
それは、インターネット回線を介してやりとりされる情報を暗号化する、というものです。
ちなみに、SSLにはその役割以外にも、もうひとつ大きな役割があるんです。
それが、Webサイトの「所有者」が誰かを証明する、というものです。
SSLの2つの役割
- やりとりされる情報(データ)の「暗号化」
- Webサイトの「所有者の証明」
それぞれの役割について、詳しく説明していきますね。
【SSLの役割 その1】
やりとりされる情報(データ)の「暗号化」
たとえば、クレジットカード情報を入力するECサイトがあったとしましょう。
もし、このECサイトがSSL化されていない場合、お客さまが入力したクレジットカード情報は、「誰でも読める状態」のまま、サーバーに届きます。
そうなると、第三者によってクレジットカード情報が盗み見される恐れがあります。
でも、このECサイトがSSL化されていれば、お客さまが入力した情報は暗号化された形でサーバーに届きます。
そうなれば、第三者はクレジットカード情報を盗み見ることはできません。
【SSLの役割 その2】
サイト所有者の証明
サイト所有者の証明とは、「このサイトの所有者は信頼できるよ!」ということを、「CA(Certification Authority)」と呼ばれる認証局に証明してもらうことを指します。
認証局は国内にいくつかあり、たとえば、セコムトラストシステムズ株式会社や、GMOグローバルサイン株式会社などが有名です。
SSLを導入すると、「電子証明書」と呼ばれるものが認証局から発行されます。
この電子証明書は、「そのサイトが信頼できるかどうか?」という証明書としての役割のほかに、暗号化されたデータを復号化するためのカギとしての役割もあります。
このカギとは、インディジョーンズの映画などで出てくる“ふたつに分かれた石板をくっつけたら扉が開く”みたいなイメージを想像してください。
暗号化されたデータを復号化するためには、必ず証明書が要るということです。
また、その証明書は、Webサイトを訪れるすべての人が見ることができます。
たとえば、以下は無料のSSLである『Let's Encrypt(レッツ・エンクリプト)』でSSL化されたサイトで見られる証明書です。
この証明書の場合、「このドメインは信頼できますよ!」ということを証明してくれています。
SSLを導入するためには、ドメインの管理者が導入の設定をおこなう必要があるため、SSLの申請者がドメインの管理者であることが確認できます。
ただ・・・、実は上記の証明書は最もレベルの低い証明書。
なぜなら、『Let's Encrypt』は誰でもカンタンに導入できる無料のSSLのため、そのドメインの管理者がどこの誰で、どこまで信頼できるか?まではCA(認証局)がチェックしてくれないのです。
あとで説明しますが、SSLの証明書には「DV」「OV」「EV」の3つのレベルがあり、最高ランクの認証(=EV認証)を受けているサイトの場合は、以下のような証明書が表示されます。
この証明書の場合、そのWebサイトを運営している企業や担当者は信頼できる!というお墨付きを得ています。
つまり、SSLを導入する際は、ただ単にやりとりされる情報(データ)の「暗号化」を目的とするだけでなく、そのWebサイトの運営元の信頼性をどれだけアピールしたいか?という視点ももっておいたほうがいいんです。
とはいえ、信頼できる認証を得るためには、多くのコストを必要とします。
たとえば、先ほど紹介した「EV」という最高ランクの認証を得るためには、認証局にいる人たちとのやりとりが何度も発生するだけでなく、数万円以上の金銭的コストもかかります。
というわけで、続けて、「DV」「OV」「EV」という認証レベルの違いについて、もう少し詳しく説明します。
ディスク容量【500GB】集中アクセスに強い、KDDIグループのサーバー
法人向け CPI 共用レンタルサーバー(10日間無料お試し付き)の利用はこちら >
「DV」「OV」「EV」という3つの認証レベルについて
先ほど、SSLの証明書には「DV」「OV」「EV」と呼ばれる3つのレベルがあるといいました。
これらのレベル名は「どんな認証をおこなうか?」という意味を表しています。
SSLの3つの認証レベル(下にいくほど、レベルが高い認証です)
- DV(Domain Validation):ドメイン認証
- OV(Organization Validation):企業認証
- EV(Extended Validation)
それでは、上記3つの認証レベルにおいて、「CA」と呼ばれる認証局がどのようなアクションを起こすのかを見ていきましょう。
1.「DV(ドメイン認証)」は、最もカンタンな手続きで証明書を発行する
「DV(Domain Validation)」、通称「ドメイン認証」は、SSLの申請者がドメインの所有者であるということを証明するものです。
ただ、認証局はそのドメイン所有者の実在性チェックをしません。
よって、存在証明としては、最も低いレベルのものになります。
そのため、サイトの信頼性をアピールするには不十分ですし、「自分のサイトは絶対にフィッシングサイトではない!」といったアピールもできません。
■フィッシング詐欺とは?
「フィッシング詐欺」とは、たとえば大手銀行などのインターネットバンキングのログイン画面そっくりの偽のサイトを作り、ユーザーに口座情報を入力させたあとに、その情報を盗み取る詐欺犯罪のことです。
「あと●日以内にログインしないと、あなたの銀行口座の情報が消えてしまいます!」といった件名のメールを送り、偽のサイトへ誘導します。
(参考:フィッシング対策協議会:ゆうちょ銀行をかたるフィッシング)
そのWebサイトがフィッシングサイトかどうかを確認するには、「サイトの所有者が本当に実在しているかどうか?」や「怪しくないか?」といったことを確認する必要があります。
その点でいえば、DV(ドメイン認証)は実在証明をおこなわないため、フィッシング詐欺で利用されやすいのです。
だから、このDV(ドメイン認証)を検討する際は、そのあたりのリスクを考慮した上で導入しましょう。
ちなみに、後述しますが、今、無料で提供されているSSLの多くは、このDV認証のみ対応しています。
導入のコストが低いため、多くの企業や個人がこのDV認証によるSSLを導入しています。
▼DV(ドメイン認証)の場合、認証局は以下の流れで認証手続きをおこないます
- 申請者から送られてきた情報を確認する。
- 申請されたドメインの「Whois情報」を確認する。
(※「Whois情報」とはドメインの登録者情報のこと) - 料金の支払い確認をする。
- メールで「認証のお知らせ」と「証明書発行情報」を申請者へ送る。
ちなみに、申請者は申込時に「申請するドメインのSSLの暗号化鍵」を一緒に送ってくるので、認証局は申請者が「SSLの対応準備をしている」という確認ができます。
これは次に紹介する「OV(企業認証)」や「EV認証」も同じです。
「OV(企業認証)」や「EV認証」での手続きに比べると、この「DV(ドメイン認証)」の流れはとってもシンプルなんです。
この「DV(ドメイン認証)」の中には、実は「無料」で提供されるものと「有料」で提供されるものがあります。
「無料」と「有料」の違いはどこにあるのでしょうか?
■「無料」と「有料」のSSL(DV:ドメイン認証)の違いは?
「無料」と「有料」のSSL(DV:ドメイン認証)の違いは、です。
有料のSSLであれば、SSLの導入で何か困ったことがあった際に問い合わせすることができます。
。
無料のSSLとして有名なのが、『Let's Encrypt(レッツ・エンクリプト)』です。
(「Let's Encrypt」という言葉は「さあ、暗号化しよう」という意味を表します)
この「Let's Encrypt」は、導入コストを最小限に抑えたSSLとして、2016年4月にサービス開始されました。
なぜ無料で使えるかというと、「SSLを全世界に普及させる!」というコンセプトに賛同した世界の大手企業がスポンサーとして支援しているからです。
「Let's Encrypt」では、申請の受付から証明書の発行まで、すべて自動で行われます。
そのため、レンタルサーバー会社が「サーバーの契約とともにすぐに使えるSSL」として顧客に提供しやすい側面があります。
実際、サーバーのコントロールパネル上で操作するだけで、カンタンに「Let's Encrypt」を導入できるようなレンタルサーバー会社が増えています。
Let's EncryptでSSL化されたサイトは、以下のような証明書が表示されます。
2.「OV(企業認証)」は、実在する企業・団体のみに証明書を発行する
「OV(Organization Validation)」、通称「企業認証」は、そのドメインの管理者である企業・団体が実在しているということを証明するものです。
(※企業・団体のみに発行される証明書で、個人および個人事業主には発行されません)
先ほど紹介した「DV(ドメイン認証)」に比べると、実在証明が入る分、存在証明のレベルは高いです。
ただ、次に説明する「EV認証」に比べると認証のレベルは1段階低めで、企業・団体(組織や団体)の実在確認は電話でおこないます。
(「EV認証の場合は、書類の送付による所在地の確認までおこないます)
あなたのサイトがお客さまの個人情報を預かるサイトの場合、この「OV(企業認証)」によるSSL(もしくは「EV認証」)を導入しておけば、「どんな企業がお客さまの個人情報を預かるのか?」を伝えることができます。
そうすればお客さまも安心するでしょう。
ちなみに、この「OV(企業証明)」から、手続きは複雑になります。
たとえば、企業の「登記事項証明書」や帝国データバンク等のデータを確認するプロセスが入ってきます。
たくさんの人が動く分、導入する側のコストも増えるので、注意してください。
▼OV(企業認証)の場合、認証局は以下の流れで認証手続きをおこないます
(認証局によって多少の手順の違いがあります)
- 申請者から送られてきた情報を確認する。
- 申請されたドメインの「Whois情報」を確認する。
- 「第三者データベース」や、場合によっては企業の登記事項証明書を確認する。
(「第三者データベース」とは、「帝国データバンク」の情報や、「DUNS番号」などの企業情報が登録された公的な識別資料のこと) - 企業の電話番号を確認する。
(実際に人が電話をかける) - 申請の責任者や担当者が在籍しているか?役職は合っているか?電話番号は合っているか?を確認する。
(実際に人が電話をかける) - 料金の支払い確認をする。
- メールで「認証のお知らせ」と「証明書発行情報」を申請者に送る。
3.「EV認証」は最高レベルのSSL証明書
企業・団体の所在地まで確認したのちに証明書を発行する
「EV(Extended Validation)」、通称「EV認証」も、そのドメインの管理者である企業・団体が存在しているということをより厳格に証明するものです。
(※企業・団体のみに発行される証明書で、個人および個人事業主には発行されません)
先ほど紹介した「OV(企業認証)」より認証レベルが高く、「EV認証」の場合は、書類の送付による所在地の確認などより厳格に審査をおこないます。
まさに、
この「EV認証」には、次のような特長もあります。
ネットサーフィンしているとき、特定のWebサイトに訪れると、アドレスバーのURLが緑色になったり、企業名が表示されていたりするのを見たことはありませんか?
アドレスバーが以下のようになっているWebサイトは、「EV認証」によるSSLを導入しているんです。
上記のように、「EV認証」によるSSLを導入しているWebサイトは、Chrome以外のブラウザでアクセスすると、アドレスバーやURLなどが緑色になります。
この緑色が、より安全・安心を与えてくれるんですね。
ちなみに、Chromeはほかのブラウザとは少し違った視点をもっているため、アドレスバーから緑色の強調をなくしました。
その視点とは、「ユーザーは、どのWebサイトにおいても安全対策が十分おこなわれていると期待している」というものです。
よって、緑色の強調をわざわざ用いる必要はない、というのがChrome側の意見のようです。
(参考:進化するChromeのセキュリティインジケーター)
▼EV認証の場合、認証局は以下の流れで認証手続きをおこないます
(認証局によって多少の手順の違いがあります)
- 申請者から送られてきた情報を確認する。
- 申請されたドメインの「Whois情報」を確認する。
- 「第三者データベース」や、場合によっては企業の登記事項証明書を確認する。
- 企業の電話番号を確認する。
(実際に人が電話をかける) - 署名権限確認者の在籍確認をする。
署名権限確認者とは、その企業を代表してSSL証明書の申請手続きをおこなう担当者のこと。
認証局が代表電話番号に電話をかけたのち、その担当者が実際にその企業に在籍しているかなどを確認する。 - 署名権限確認者宛に「EV SSL 証明書 申請責任者確認書」を送付し、登録されている住所が実在しているかどうかを確認する。
- 担当者に「EV SSL 証明書 申請責任者確認書」に署名をしてもらった上で返送してもらう。
- 申請の責任者や担当者が在籍しているか?役職は合っているか?電話番号は合っているか?を確認する。
(実際に人が電話をかける) - 料金の支払い確認をする。
- メールで「認証のお知らせ」と「証明書発行情報」を申請者に送る。
「EV認証」になると、かなり厳格な手順が踏まれているのがわかりますね。
では、この3つの認証について、あらためて表にまとめておきましょう。
| DV(ドメイン認証) | OV(企業認証) | EV認証 | |
|---|---|---|---|
| 認証レベル | 低い | それなりに高い | 高い |
| 費用 | 無料~数万円 | 数万円 | 数万円~十数万円 |
| 申請可能な対象 | 個人・法人 | 法人のみ | 法人のみ |
| 所有者の実在性の確認 | なし | あり | あり |
| フィッシングサイト対策 | なし | あり | あり |
もし、企業サイトにSSLを導入する場合、安全・安心を最もアピールできる「EV認証」がオススメです。
ただ、EV認証のSSLを導入する際は、それなりのコストがかかります。
とはいえ、実はそのコスト感は、どこでどのようにSSLを導入するかによって、金額が大きく変わってきます。
たとえば、CPIのroot権限付 専用サーバー「ハイブリッドプラン」では、SSL導入のハードルを下げるために、大手のSSL証明書の料金割引率が最大58%も安くなる(!)特別クーポンが提供されています。
信頼感のあるSSLを導入したい企業にとっては、非常にお得なクーポンです。
■SSL導入の費用例(CPIサーバーの特別クーポンを使った場合)
(参考:CPI専用サーバーのSSL証明書)
どのSSLを導入するとよいのかを知りたい方は、CPIに問い合わせてみるとよいでしょう。
また、いきなり「EV認証」を導入するのはコスト的にちょっと・・・という方は、CPIの共用サーバーをお使いの場合、
しかも、CPIの共用サーバーの「DV(ドメイン認証)」のSSLは、『Let's Encrypt』ではなくCPIブランドの国産のSSL。
SSL導入のサポートが受けられます。
さらにいえば、CPIの共用サーバーはセキュリティ面で信頼できるだけでなく、手厚いサポート体制が魅力。
サーバーの「移転代行サービス」なども用意されているので、サーバー移転のコストは最小限で済みます。
SSLの導入が当たり前となりつつある今、SSLの導入を検討する際は、という視点をもつことのほうが大切かもしれません。
その点では、CPIの専用サーバーや共用サーバーは確実に候補に入ってくると思います。
ディスク容量【500GB】集中アクセスに強い、KDDIグループのサーバー
法人向け CPI 共用レンタルサーバー(10日間無料お試し付き)の利用はこちら >
あなたのWebサイトがよりセキュアなサイトになりますように。
