多くの人がインターネットにアクセスしない日はないという昨今、インターネットの安全性は当たり前に求められるものとなっています。そのため、大手有名ウェブサービスは常時SSL化が基本となっていますが、単にSSL化と言っても認証レベルには差があり、サイトに合わせたSSLの選定が必要です。特に近年話題になっている無償SSLは、正しく理解したうえで利用することが推奨されています。
SSLの認証レベル
インターネット上の通信を暗号化するSSL(Secure Sockets Layer)サーバ証明書は、大きくドメイン認証(DV:Domain Validation)、企業実在認証(OV:Organization Validation)、EV認証(EV:Extended Validation)の3つのタイプに分類されます。その中でもドメイン認証は更に「有償タイプ」と「無償タイプ」に分かれます。
それぞれの証明書の認証レベルの違いは以下の表の通りです。
証明書を導入することが、SEO上、有利になる点は全てのSSLでの共通事項になります。認証レベルによって違う点は、「審査方法」と「なりすまし対策」です。
厳格な審査を実施し、アドレスバーに組織名が入るEV認証や企業実在認証は、なりすまし対策に効果的であるのは広く知られていますが、同じドメイン認証でも、有償と無償の違いについては実はあまり知られていません。
「フィッシング対策」の審査の有無が大きな違い
有償のドメイン認証SSLと無償のドメイン認証SSL の決定的な違いは、十分なフィッシング対策審査を実施しているか否かになります。
本来、認証局(電子証明書の発行機関)から発行される証明書であれば、不正申請の可能性があると判断されたオーダーは自動的に発行が保留となり、人的な追加審査を実施したうえで発行されます。
例えば、弊社グローバルサインでは、以下の3つのリストからフィッシング対策審査を実施し、リストに該当するものについては人的な追加審査を実施しています。
- 1. アンチフィッシングワーキンググループで管理されているリスト
- 2. Googleセーフブラウジングテクノロジーで検出されるリスト
- 3. グローバルサイン独自のキーワードリスト
厳格な審査による証明書の発行が、不正発行を防ぐことが認証局の役務であり、証明書をご利用いただくお客様への価値となります。
無償SSLでは、十分なフィッシング対策審査が実施されていないため、悪意を持ったユーザによって、無償SSLが詐欺サイト等で使われる被害も既に発生しています。
※『Let's EncryptとComodoのTLS証明書、96%の詐欺サイトで使用』
無償で保証・サポートがないのは危険?
また、何かあったときの保証、サポートの有無も大きな違いとなります。
無償SSLの発行組織は、寄付をもとに運営されている非営利団体の場合もあり、利用者が細かなサポートがなくても、対応できることが前提となります。一方で、弊社のような認証局は、適正な証明書を発行し続けるために常に投資をしており、万全な審査・カスタマーサポート体制を敷くことで、安心と使いやすさ、高いセキュリティレベルを保っています。
使いどころが大事
このようなリスクもあるため、無償SSLは、特性を理解した上で使い分ける必要があります。
法人組織が運営するサイトや商用サイトでの利用は、サービス提供者やサイト運営の責任という観点から、無償SSLの利用はあまり望ましくありません。
一方で、法人が運営するサイトであっても検証用途で利用する場合や、個人が運営するサイトであれば、利用しても良いかもしれません。
SSL選定の際には、きちんとメリットとデメリットを理解したうえでご検討ください。